Por primera vez, piratas han usado inteligencia artificial para explotar un fallo de seguridad que ningún escáner habría visto, y Google dice que solo su vigilancia activa evitó un ataque masivo.
La inteligencia artificial ha facilitado redactar correos electrónicos, generar hojas de cálculo y planificar vacaciones, como demuestra la enorme popularidad de los distintos modelos de IA.
PUBLICIDAD
PUBLICIDAD
También ha hecho, según un reciente informe de Google, que resulte mucho más sencillo detectar brechas en el software de nuestros sistemas que antes no estaban localizadas o se consideraban imposibles de prever.
El grupo de inteligencia de amenazas de Google asegura que, por primera vez, ha detectado a piratas informáticos que usan IA para descubrir y explotar una llamada vulnerabilidad de día cero, es decir, un fallo de seguridad que el desarrollador del software aún no sabe que existe y para el que no hay disponible ninguna corrección.
El objetivo era una popular herramienta de administración de sistemas accesible desde la web y el fallo permitía a los atacantes eludir la autenticación en dos pasos, esa segunda capa de seguridad que la mayoría de la gente cree que mantiene a salvo sus cuentas.
Google afirma que detectó el ataque antes de que pudiera ejecutarse a gran escala y avisó discretamente al proveedor del software.
"El actor de amenaza criminal planeaba utilizarlo en una campaña de explotación masiva, pero nuestra detección proactiva podría haber impedido su uso", señala el informe.
"Los actores de amenaza vinculados a la República Popular China (RPC) y la República Popular Democrática de Corea (RPDC) también han mostrado un gran interés en aprovechar la IA para detectar vulnerabilidades".
Un fallo que los desarrolladores pasaron por alto
Esta vulnerabilidad de día cero no es un fallo convencional. Los escáneres de seguridad tradicionales buscan caídas y errores de memoria, el equivalente en software a un corrector ortográfico que rastrea el equivalente digital de una errata, pero esta vulnerabilidad estaba enterrada en la lógica del código, una sutil suposición codificada por el desarrollador que ningún escáner automático habría detectado.
Es el tipo de error en el que todo parece correcto en la superficie pero el razonamiento de fondo está mal. Sería como una cámara acorazada con una cerradura que funciona, pero que se abre para quien conoce una excepción porque el diseñador, sin darse cuenta, la incorporó.
Ese es precisamente el tipo de contradicción que la IA detecta bien. "Los LLM de vanguardia destacan a la hora de identificar este tipo de fallos de alto nivel y anomalías estáticas codificadas", añadía el informe.
Aunque estos LLM de vanguardia todavía tienen dificultades para manejar la compleja lógica de autorización de las grandes empresas, "cada vez son más capaces de realizar razonamientos contextuales... y de detectar las contradicciones de sus excepciones codificadas", concluía.
Esta capacidad permite que los modelos saquen a la luz errores lógicos latentes que parecen funcionar correctamente para los escáneres tradicionales, pero que desde el punto de vista de la seguridad resultan inseguros.
No es solo un truco
Aunque la vulnerabilidad de día cero fue el hallazgo principal, el informe completo deja un panorama inquietante.
Los piratas informáticos financiados por los Estados chino y norcoreano utilizan la IA para buscar vulnerabilidades a escala industrial, enviando órdenes automatizadas para sondear debilidades en todo tipo de equipos, desde los routers domésticos hasta las redes corporativas.
Google observó a un grupo norcoreano "enviando miles de instrucciones repetitivas que analizan de forma recursiva diferentes CVE y validan exploits de tipo PoC", con las que están construyendo lo que el informe describe como "un arsenal más sólido de capacidades de explotación que sería muy poco práctico gestionar sin la ayuda de la IA".
Los grupos vinculados a Rusia, por su parte, usan la IA para desarrollar programas maliciosos que se reescriben sobre la marcha para eludir los sistemas de detección, una capacidad que antes exigía una gran pericia humana.
La IA también está transformando el phishing. En lugar de enviar correos genéricos a gran escala, los atacantes emplean ahora la IA para cartografiar las jerarquías corporativas, identificar objetivos concretos con acceso a datos sensibles y generar, en palabras del informe, "señuelos de phishing de mayor precisión adaptados a personas con privilegios administrativos", que van mucho más allá de "las tácticas estándar del phishing masivo tradicional".
El cambio de fondo, advierte Google, es que la IA deja de ser solo una herramienta de investigación para convertirse en una especie de actor activo en el ámbito de la seguridad.
"El LLM ya no es simplemente un asesor pasivo, sino un participante activo en la cadena ofensiva, capaz de coordinar conjuntos de herramientas complejos y tomar decisiones tácticas a velocidad de máquina".
Las propias herramientas de IA de Google detectaron la vulnerabilidad de día cero antes de que pudiera causar daños, lo que aporta cierta nota positiva. La compañía está desplegando sus propios agentes de IA para encontrar y corregir vulnerabilidades más rápido de lo que podrían hacerlo los equipos humanos.