Google detiene un ciberataque usando IA por primera vez: cómo lo hizo

Este agente es resultado del trabajo conjunto de Google DeepMind y Google Project Zero, dos de los equipos más avanzados dentro de la infraestructura tecnológica de la compañía.

Anunciado el año pasado, este agente de IA se ha diseñado específicamente para buscar e identificar de manera proactiva vulnerabilidades desconocidas en diversos tipos de software, un objetivo que hasta ahora parecía inalcanzable mediante herramientas automatizadas.

En noviembre de 2024, Big Sleep detectó su primera vulnerabilidad activa, un logro significativo que demostró el potencial de la IA para cerrar brechas de seguridad antes de que afecten a los usuarios. No obstante, el salto más relevante llegó cuando la IA bloqueó lo que parecía ser un exploit inminente, anticipándose incluso a su ejecución.

Cómo logró Google detener el ataque con IA

El último avance de Big Sleep gira en torno a la identificación de una vulnerabilidad crítica en SQLite—catalogada como CVE-2025-6965—, un elemento fundamental en numeroso software global. La amenaza solo la conocían los actores maliciosos y existía un alto riesgo de explotación.

Gracias a la integración con la plataforma Google Threat Intelligence, Big Sleep fue capaz de analizar los flujos de información y, basándose en inteligencia de amenazas, predecir el uso inminente de la falla.

“Gracias a la combinación de inteligencia de amenazas y Big Sleep, Google ha podido predecir el inminente uso de una vulnerabilidad y prevenirla de antemano”, explicó la empresa en su blog. Este proceso permitió neutralizar la amenaza antes de que cualquier usuario, empresa u organización sufriera daño alguno.

Si bien la capacidad de descubrir y corregir vulnerabilidades ya estaba transformando los procesos de defensa digital, el paso a predecir y bloquear una explotación previamente nunca antes vista representa un cambio dramático en la ciberdefensa.

“Esta es la primera vez que se utiliza un agente de IA para frustrar directamente los intentos de explotar una vulnerabilidad en la práctica”, publicó Google.

Cómo es la implementación y expansión de Big Sleep que va más allá de Google

Google no limitó el impacto de Big Sleep a sus propios productos. Tal como ha comunicado la empresa, la herramienta ya se está implementando en proyectos de código abierto de uso masivo, una estrategia orientada a reforzar la seguridad general de la infraestructura digital mundial.

Esta expansión abre nuevas posibilidades y, según el comunicado de la compañía, “supone un gran avance para garantizar una seguridad más rápida y eficaz en internet”. Al detectarse vulnerabilidades en proyectos abiertos e intervenir proactivamente, la IA libera a los equipos de seguridad humanos para que estos puedan concentrar sus esfuerzos en amenazas de mayor complejidad.

Paralelamente, Google sigue apostando por el desarrollo de nuevas capacidades. Entre las próximas acciones destaca la ampliación de la plataforma Timesketch, una herramienta de análisis forense digital colaborativo también de código abierto que, impulsada por la IA de Sec-Gemini, buscará acelerar la respuesta ante incidentes permitiendo que la inteligencia artificial lleve a cabo la primera fase de las investigaciones.

Junto a Timesketch, el sistema FACADE (Fast and Accurate Contextual Anomaly Detection) desempeña un papel fundamental en la detección de amenazas internas en Google desde 2018. Utilizando aprendizaje contrastivo, esta IA procesa miles de millones de eventos diarios sin depender necesariamente de registros históricos de ataques anteriores.

Tal funcionalidad incrementa la versatilidad y capacidad proactiva del sistema para descubrir comportamientos anómalos, incluso en ausencia de precedentes.