Un nuevo reporte del Threat Intelligence Group (GTIG) de Google detalla cómo los atacantes están usando IA a escala para ejecutar ciberataques. Por primera vez, GTIG identificó a un actor de amenaza que, según el informe, usó IA para descubrir y armar una vulnerabilidad zero-day. Google dice haber detenido el ataque masivo planeado antes de que se materializara.

Según el reporte, los LLM de frontera son especialmente efectivos como herramientas de propósito general en el descubrimiento de vulnerabilidades, y sus capacidades siguen creciendo. La conclusión empírica de Google es que estos modelos ya están al nivel de las herramientas especializadas tradicionales y, en algunos vectores, las superan.

¿Quiénes están abusando de la IA para atacar?

Actores respaldados por China y Corea del Norte también están usando IA para cazar vulnerabilidades. El reporte destaca el proyecto de GitHub wooyun-legacy, un plugin para Claude con más de 85.000 casos de vulnerabilidades reales provenientes de la plataforma china WooYun, construido específicamente para que los modelos analicen código de forma más efectiva.

Los grupos vinculados a Rusia están incrustando código de ofuscación generado por IA dentro de malware. Un caso destacado es PROMPTSPY, un malware para Android que utiliza la API de Gemini para controlar dispositivos de forma autónoma. La capacidad de razonamiento del modelo permite que el malware tome decisiones en tiempo real basadas en lo que ve en pantalla, en vez de ejecutar un payload estático.

Grupos criminales como TeamPCP apuntan ahora a las cadenas de suministro de IA, atacando paquetes open source populares para envenenarlos antes de que lleguen a producción, según Google.

¿Qué contramedidas tiene Google?

Google desarrolló sus propias contramedidas basadas en IA. Las dos más visibles son:

  • Big Sleep: el agente de Google DeepMind especializado en descubrir vulnerabilidades antes que los atacantes. Ya tiene un track record público de zero-days reportados a desarrolladores upstream.
  • CodeMender: un sistema que repara código vulnerable de forma automática, generando parches que pasan por revisión humana antes del merge.

Ambas herramientas reflejan una estrategia clara: si los atacantes están usando IA para encontrar bugs más rápido, la defensa también necesita acelerarse con el mismo tipo de tooling. La asimetría que solía favorecer al atacante (un solo bug rompe, hay que cubrir todos) se está reduciendo en velocidad de descubrimiento, aunque sigue intacta en costo de explotación.

El reporte completo está disponible en el blog de Google Cloud.

¿Qué cambia para equipos de seguridad en Chile o LatAm?

Para CISOs y equipos de seguridad regional, este reporte tiene implicancias prácticas inmediatas. Tres acciones concretas ganan urgencia:

1. Acelerar el ciclo de patching para CVEs críticos. Si un LLM puede pasar de un CVE público a un exploit funcional en horas, la ventana entre la disclosure y la explotación masiva se reduce drásticamente. Equipos que aplicaban parches en cuotas mensuales necesitan moverse a ciclos semanales o automatizados. 2. Auditar dependencias open source con herramientas tipo Socket, Snyk o OSV-Scanner. Los ataques a la cadena de suministro a la TeamPCP requieren que los CI/CD pipelines validen cada update de paquete, no solo en el deploy inicial. 3. Monitorear comportamiento anómalo en endpoints Android que puedan tener malware con razonamiento generativo embebido. Las firmas estáticas de antivirus pueden ser insuficientes cuando el código de ofuscación cambia en cada infección.

Para el ecosistema regional, donde muchos servicios financieros y de gobierno corren sobre stacks PHP, Java y .NET con dependencias open source de hace varios años, el riesgo de paquetes envenenados es especialmente alto. Los bancos chilenos y las administradoras de fondos previsionales ya están incorporando herramientas de Software Composition Analysis en sus pipelines, pero el ritmo de adopción sigue siendo desigual entre empresas medianas y pequeñas.

¿Cómo se compara con incidentes recientes?

El reporte de GTIG llega apenas dos semanas después del ataque a la cadena de suministro de Mistral AI y TanStack que afectó a miles de proyectos basados en sus paquetes JavaScript. Ese incidente, cubierto en otras notas, no usó zero-days descubiertos por IA, sino typosquatting clásico y compromiso de credenciales de mantenedores. La diferencia conceptual con el caso que reporta Google es importante: aquí no se trata de explotar humanos, sino de que la IA encuentre la falla.

La línea entre defensa con IA y ataque con IA ya se cruzó. Los próximos doce meses van a definir si la asimetría se mantiene controlada o si la velocidad de descubrimiento ofensivo le saca ventaja decisiva a los defensores.