Volver al inicio

Zero-day de IA: Google descubre un exploit creado por una máquina

Google Threat Intelligence Group registró el primer caso de un exploit zero-day creado por IA en un esquema criminal real dirigido a eludir la autenticación de dos factores. El código contenía artefactos característicos de los LLM, incluida una puntuación CVSS alucinada. El incidente marca un cambio hacia ataques con vulnerabilidades semánticas invisibles para los escáneres tradicionales.

Google detectó el primer zero-day creado por IA: cómo el código de máquina hackeó la 2FA
Advertisement 728x90

Google confirma el primer caso de vulnerabilidades de día cero descubiertas mediante IA con fines delictivos

El informe GTIG AI Threat Tracker de Google documentó el primer exploit delictivo creado con IA que eludió la autenticación de dos factores. También identificó malware autónomo para Android que aprovecha Gemini.


La IA aprendió a vulnerar sistemas: cómo Google detectó el primer día cero creado por una máquina y por qué esto es solo el comienzo

El resumen: qué está sucediendo realmente

El 12 de mayo de 2026 pasará a los libros de texto de ciberseguridad como el día en que la ficción detectivesca se hizo realidad. El Grupo de Inteligencia de Amenazas de Google publicó un informe que documenta el primer caso confirmado de un exploit de día cero creado mediante inteligencia artificial, no en un laboratorio ni como experimento, sino dentro de un esquema delictivo activo dirigido a la explotación masiva de una vulnerabilidad en una herramienta de administración de sistemas de código abierto.

Google AdInline article slot

La historia es a la vez mundana y alarmante. Un grupo delictivo anónimo, con un historial de intrusiones de alto perfil, utilizó un modelo de lenguaje de gran escala para encontrar y explotar una vulnerabilidad que permitía eludir la autenticación de dos factores. El exploit estaba destinado a ser la base de un "evento de explotación masiva", pero Google intervino a tiempo: la vulnerabilidad se notificó al desarrollador y se publicó un parche antes de que comenzara el ataque.

La razón por la que Google está seguro de que la IA escribió el código, y no un humano, es clave. El script en Python contenía cadenas de documentación "educativas" con un estilo de libro de texto, comentarios estructurados típicos de las salidas de los LLM y, lo más revelador, una puntuación CVSS alucinada que el modelo inventó en lugar de obtenerla de una base de datos real. Un investigador humano no escribe esos artefactos. Es la firma de la máquina.

Cronología y contexto

Los acontecimientos de mayo de 2026 no surgieron de la nada. Fueron precedidos por meses de escalada en todos los frentes.

Google AdInline article slot

Agosto de 2025: ESET descubre PromptLock, el primer ransomware impulsado por IA que utiliza modelos generativos para adaptar las demandas a la víctima. La industria ve la IA generativa no como una herramienta de desarrollo, sino como parte del código ejecutable del malware.

Enero de 2026: Las primeras muestras del troyano para Android VNCSpy se suben a VirusTotal desde Hong Kong. El código aún es primitivo: un backdoor VNC clásico sin componente de IA.

Febrero de 2026: Solo un mes después, un salto cualitativo. Surge PromptSpy, una evolución de VNCSpy, con un módulo integrado para interactuar con Gemini. El malware ahora utiliza la API de Google para interpretar la interfaz del dispositivo infectado y navegar autónomamente por la pantalla. ESET detecta muestras subidas desde Argentina. El mecanismo funciona así: el troyano toma un volcado XML de la pantalla, lo envía a Gemini con la instrucción "eres un asistente de automatización de Android", recibe una respuesta JSON con coordenadas táctiles y las ejecuta. El ciclo se repite hasta que se completa la tarea.

Google AdInline article slot

En paralelo, Google publica su informe GTIG de febrero, que por primera vez documenta que grupos patrocinados por estados de la RPDC y la RPCh utilizan IA en todas las fases de los ataques, desde el reconocimiento hasta la post-compromiso. El APT45 de Corea del Norte ejecuta miles de exploits mediante IA para su validación y escalado de arsenal.

Marzo de 2026: El grupo TeamPCP compromete LiteLLM, una popular librería de pasarela para trabajar con LLM, a través de paquetes PyPI envenenados y solicitudes de extracción maliciosas. Se roban credenciales de AWS y GitHub y se monetizan mediante acuerdos de ransomware. Este es un nuevo vector: atacar no el modelo en sí, sino la capa de integración que lo rodea.

Mayo de 2026: El informe GTIG, publicado el 12 de mayo, cristaliza el panorama. Además del día cero, documenta: el uso de herramientas agénticas como OpenClaw por parte del grupo chino UNC2814 para el escaneo continuo de una empresa tecnológica japonesa; jailbreaks basados en personalidad para extraer vulnerabilidades RCE de pre-autenticación en firmware de TP-Link a partir de LLM; operaciones de influencia rusas con audio sintético incrustado en transmisiones de noticias reales.

Ya no son incidentes aislados, sino un patrón.

Quién gana y quién pierde

Los perdedores, obviamente, son todos aquellos que administran infraestructura web. La ventana entre la divulgación de una vulnerabilidad y el inicio de los ataques está desapareciendo. Fortinet, en un informe paralelo, señala que los intentos de explotación ahora comienzan dentro de las 24-48 horas posteriores a la divulgación, en comparación con un promedio de 4.76 días antes. En el último año, el número de víctimas de ransomware aumentó un 389%, de 1.600 a 7.831. Este es un mundo donde el parcheo debe ocurrir el mismo día de la publicación del CVE, no dentro de un SLA semanal.

El ecosistema de código abierto pierde. El ataque se dirigió a una herramienta de administración de código abierto. La vulnerabilidad semántica que encontró la IA fue un fallo lógico donde el desarrollador incorporó una suposición de confianza en el flujo de autenticación, creando una contradicción con la lógica de 2FA. Los escáneres tradicionales buscan desbordamientos de búfer y condiciones de carrera. No leen el código como un humano. Los LLM lo leen exactamente de esa manera y encuentran errores en la intención, no en la sintaxis.

Los fabricantes de teléfonos pierden. PromptSpy no necesita coordenadas específicas para presionar el botón "fijar en memoria" en Android. Le pregunta a Gemini, y el modelo entiende: en Samsung, el bloqueo de aplicaciones se hace con una pulsación larga; en Xiaomi, un deslizamiento hacia abajo; en Pixel, un icono de candado. El mismo malware funciona en todos los dispositivos.

Google gana. Irónicamente, la empresa cuyo modelo Gemini explota PromptSpy se beneficia de toda la situación. GTIG acumula capital reputacional al demostrar la capacidad de interceptar ataques impulsados por IA en una etapa temprana. Las herramientas de protección como Big Sleep para el descubrimiento de vulnerabilidades y CodeMender para el parcheo automático obtienen evidencia de demanda.

Los atacantes preparados para la automatización ganan. Fortinet señala: los intentos de fuerza bruta disminuyeron un 22%, pero los intentos de explotación aumentaron un 25.49%. Esto no es una disminución de la actividad, sino un cambio de cantidad a calidad. El acceso a herramientas como WormGPT, FraudGPT y HexStrike AI reduce la barrera de entrada, y los datos robados por infostealers (RedLine, Lumma, Vidar), ahora el 67% de todos los conjuntos de datos vendidos en la dark web, proporcionan combustible para ataques dirigidos.

Lo que los medios no están diciendo

Primera reflexión: la vulnerabilidad no es técnica sino semántica, y ese es el problema central. Durante los treinta años de la industria de la ciberseguridad, hemos construido defensas en torno a la búsqueda de errores de sintaxis. Los fuzzers buscan fallos. Los analizadores estáticos buscan patrones. Ninguno nota una contradicción lógica entre la intención del programador y la implementación. Los LLM la notan porque ven semántica, contexto, intención. Esto significa que en cualquier proyecto con una historia de más de cinco años, hay vulnerabilidades lógicas inadvertidas que ninguna herramienta tradicional puede ver. El día cero descubierto por IA no es una excepción; es el comienzo de una fiebre del oro.

Segunda reflexión: el uso de la IA con fines delictivos hace que el malware sea impredecible y, por lo tanto, invisible para los antivirus. El antivirus tradicional busca firmas, patrones de comportamiento, secuencias conocidas de llamadas a la API. Pero si cada instancia de PromptSpy toma decisiones dinámicamente basadas en las respuestas del LLM, su comportamiento varía dentro de límites no cubiertos por ninguna base de reglas concebible. ESET atrapó a PromptSpy debido a una bandera de depuración en el código. La próxima vez, la bandera se eliminará y la detección será un orden de magnitud más difícil.

Tercera reflexión: el objetivo no es la herramienta sino la propia IA. El ataque a LiteLLM por parte de TeamPCP revela un nuevo modelo de amenaza. Comprometer una librería de pasarela permite interceptar las credenciales de todos los que usan LLM a través de esa herramienta. Esto es un ataque a la cadena de suministro de la infraestructura alrededor de los modelos. Si un atacante obtiene acceso a las claves API de un proveedor de LLM, puede usar la suscripción paga de otra persona para escalar sus propios ataques, ocultando completamente sus huellas. GTIG afirma explícitamente: los atacantes están desarrollando middleware profesional para el acceso anónimo a modelos premium con rotación automática de cuentas.

Cuarta reflexión: el primer día cero documentado es un error de los delincuentes, no un triunfo de la defensa. Google encontró el exploit debido a artefactos de inexperiencia: un CVSS alucinado, comentarios "educativos". Las iteraciones posteriores no contendrán estos marcadores. Ya se han documentado casos de uso de OpenClaw para refinar exploits generados por IA en entornos controlados antes del despliegue. Esto es industrialización: el LLM escribe un borrador, un humano lo revisa y limpia los artefactos.

Pronóstico: los próximos 30 días y 90 días

30 días (hasta mediados de junio de 2026). La publicación del informe de Google desencadenará una ola de auditorías en la industria del código abierto. Los proyectos que mantienen interfaces de administración web comenzarán a recibir informes de errores de un tipo inusual: "la IA encontró una contradicción lógica en la línea 847". Los desarrolladores de proyectos populares (Jenkins, Grafana, GitLab) iniciarán revisiones internas específicamente para vulnerabilidades semánticas, la clase que nadie buscó sistemáticamente antes.

Simultáneamente, en los foros clandestinos, se producirá una revalorización. Los exploits listos con "alucinaciones" en el código se descontarán, mientras que la demanda crecerá por especialistas capaces de limpiar el código generado por IA de artefactos. Surgirá una nueva microespecialización en el ecosistema delictivo: "saneador de exploits de IA".

Espero que en un plazo de 30 días, al menos un gran proveedor (Microsoft, Cisco o Palo Alto) anuncie la inclusión de análisis semántico basado en LLM en sus escáneres de código. Esta será una respuesta directa a la amenaza descrita por GTIG.

90 días (hasta mediados de agosto de 2026). Las vulnerabilidades semánticas se convertirán en un vector generalizado. Hoy, solo Google habla de ellas. En tres meses, aparecerán investigaciones independientes de FireEye, CrowdStrike y grupos académicos que catalogarán tipos de errores lógicos que los LLM encuentran mejor que los humanos. Para agosto, se documentarán al menos 5-7 CVE descubiertos con IA, tanto por defensores como por atacantes.

En el verano de 2026, en Black Hat y DEF CON, el tema del descubrimiento de vulnerabilidades impulsado por IA dominará la agenda. Espero al menos una presentación que demuestre un pipeline automatizado: un LLM encuentra una vulnerabilidad, un framework agéntico genera un exploit, otro agente limpia los artefactos y un tercero despliega el ataque. No como una prueba de concepto, sino como una cadena funcional.

La parte más desagradable: el modelo de monetización de los datos robados finalmente se orientará hacia el análisis con IA. Los infostealers ya suministran el 67% del contenido de las bases de datos de la dark web. A esto se añadirá la categorización y priorización automática de víctimas mediante LLM: "aquí hay una empresa con RDP abierto y vCenter desactualizado: probabilidad de pago de rescate 78%, cantidad recomendada 400.000 dólares". Esto elevará el ransomware a un nuevo nivel de eficiencia económica.

Conclusión. El 12 de mayo de 2026 se documentó lo que se había advertido durante años: el primer día cero generado por IA. Pero esto no es la línea de meta; es el comienzo. La carrera ha comenzado, y los defensores tendrán que aprender a pensar como los LLM para adelantarse a quienes ya lo hacen. John Hultquist de GTIG lo resumió sucintamente: "Existe la idea errónea de que la carrera de vulnerabilidades de IA es inevitable. La realidad es que ya está en marcha. Por cada día cero que podemos rastrear hasta la IA, probablemente hay muchos otros que no vemos".

— Editorial Team

Advertisement 728x90

Leer después