MADRID, 5 Nov. (CIBERPRO) –
La inteligencia artificial (IA) se ha establecido como una tecnología omnipresente, que no solo potencia la productividad, la creatividad y la seguridad, sino que también es utilizada por ciberdelincuentes. Estos han comenzado a integrarla en sus operaciones para adaptarse dinámicamente a las circunstancias y mejorar su eficacia.
En el último año, el Google Threat Intelligence Group (GTIG) ha observado un cambio en la forma en que los delincuentes cibernéticos emplean la IA: ya no se limita a aumentar su productividad, sino que ahora utilizan nuevos tipos de ‘malware’ con capacidades de IA incorporadas.
Este descubrimiento señala una nueva etapa en el uso indebido de la IA, con herramientas que pueden alterar su comportamiento de manera dinámica mientras operan, según el informe reciente de GTIG. Este documento detalla cómo los agentes de amenazas están incorporando la IA y experimentando con ella en diferentes sectores a lo largo del ciclo de vida de los ataques.
Por ejemplo, grupos de ciberdelincuentes provenientes de China, Corea del Norte, Rusia e Irán están tratando de utilizar la IA para diversas actividades, incluyendo la ejecución de ‘malware’, tácticas de ingeniería social, venta de herramientas de IA y la optimización de todas las fases de sus operaciones.
GTIG ha identificado, por primera vez, familias de ‘malware’ como Promptflux y Promptsteal, que no solo generan ‘scripts’ maliciosos de forma dinámica y ofuscan su código para evitar ser detectados, sino que también emplean grandes modelos de lenguaje (LLM) para crear funciones maliciosas a la medida.
Para burlar las barreras de seguridad de la IA, los delincuentes emplean en sus indicaciones (‘prompts’) argumentos que evocan la ingeniería social. Se han observado casos en los que los agentes se hacen pasar por estudiantes realizando ejercicios de tipo ‘captura la bandera’ o investigadores en ciberseguridad.
En ambos escenarios, intentan convencer a Gemini para que les proporcione información que, de otro modo, estaría restringida, y que necesitan para desarrollar herramientas específicas.
El informe también resalta que el mercado negro de herramientas de IA ilegales ha evolucionado durante este año. GTIG ha identificado un conjunto de ofertas de herramientas multifuncionales diseñadas para facilitar actividades de ‘phishing’, el desarrollo de ‘malware’ y la investigación de vulnerabilidades, lo que reduce las barreras de entrada para los agentes menos sofisticados.
Algunos de estos nuevos desarrollos en técnicas de IA todavía son experimentales, pero indican una tendencia temprana sobre cómo evolucionan las amenazas y cómo se podrían integrar capacidades de IA en futuras actividades de intrusión.
PRONÓSTICOS DE CIBERSEGURIDAD PARA 2026
Google Cloud Security también ha presentado sus ‘Pronósticos de ciberseguridad para 2026’, un estudio cuya finalidad es ayudar a los equipos de seguridad a prepararse para una variedad de amenazas y retos específicos que se prevén para el próximo año.
Las conclusiones se centran en tres áreas: el uso de la inteligencia artificial tanto por adversarios como por defensores, la ciberdelincuencia como la amenaza global más disruptiva, y las operaciones continuas de actores estatales para cumplir sus objetivos estratégicos.
El uso adversario de la IA pasará de ser principalmente experimental a convertirse en una práctica común, lo que aumentará la velocidad, el alcance y la eficacia de las operaciones. En este contexto, los agentes de IA serán cruciales para aliviar tareas pesadas y mejorar la eficiencia.
Los agentes también se convertirán en objetivos a través de ataques de inyección de instrucciones o ‘prompt injection’, logrando eludir los protocolos de seguridad; además, serán la puerta de entrada a nuevos riesgos, especialmente en empresas no preparadas, conocido como ‘agentes de IA en la sombra’ (Shadow Agent).
En lo que concierne a la ciberdelincuencia en general, Google anticipa que el ‘ransomware’, el secuestro de datos y la extorsión multifacética seguirán siendo las categorías más perjudiciales desde una perspectiva financiera.
La economía en cadena ampliará la superficie de ataque, llevando a los actores maliciosos a explotar la inmutabilidad y descentralización de la cadena de bloques para obtener beneficios económicos significativos. Además, la infraestructura de virtualización será cada vez más un objetivo de ataques, exponiendo la falta de visibilidad de EDR y la inmadurez de la seguridad en esta capa crítica.
Desde una perspectiva geopolítica, actores estatales como Rusia, China, Irán y Corea del Norte continuarán representando amenazas significativas y en constante evolución, impulsadas por intereses estratégicos diferenciados.
En este contexto, Google ha enfatizado la necesidad de que Europa se prepare para una intensificación de la guerra híbrida, incluidos ciberataques físicos dirigidos a infraestructuras críticas, así como operaciones de información y espionaje.
Paralelamente, los marcos normativos en materia de inteligencia artificial y ciberseguridad en toda la región EMEA (Europa, Oriente Próximo y África) comenzarán a aplicarse de manera activa, exigiendo a las organizaciones cumplir con los requisitos normativos.
