– PIXABAY. – Archivo
MADRID, 12 Feb. (CIBERPRO) –
La inteligencia artificial (IA) ha pasado a ser un blanco para los cibercriminales, quienes buscan replicar modelos propietarios, además de utilizarla como herramienta para perfeccionar y ejecutar ataques, lo que ha fomentado un mercado clandestino de servicios relacionados con la IA.
En el año anterior, se observó un incremento de los llamados ataques de destilación, que son intentos de extraer modelos de IA generativa con el fin de obtener detalles sobre su funcionamiento y clonarlos.
La meta es comprender el razonamiento subyacente de los modelos y los procesos de pensamiento, como se menciona en el último informe ‘AI Threat Tracker’ del Google Threat Intelligence Group (GTIG). Además, se indica que un objetivo recurrente para los atacantes es la capacidad de razonamiento del modelo Gemini.
Este informe también pone de relieve cómo los actores maliciosos utilizan la inteligencia artificial a lo largo de todo el ciclo de vida del ataque, desde la codificación y creación de ‘scripts’, hasta la recolección de información sobre objetivos potenciales, la investigación de vulnerabilidades conocidas y la habilitación de actividades post-compromiso.
Se ha detectado esta práctica en actores de amenazas apoyados por gobiernos, como APT42, vinculado a Irán, que utilizó modelos de IA generativa para buscar correos electrónicos oficiales de entidades específicas y realizar reconocimientos sobre posibles socios comerciales para establecer un pretexto convincente.
También se menciona a UNC2970, relacionado con Corea del Norte, que utilizó Gemini para sintetizar información de fuentes abiertas (OSINT) y definir objetivos de alto valor que respaldan la planificación y el reconocimiento de sus campañas.
La IA ha sido empleada de forma experimental para implementar nuevas capacidades en el ‘malware’. Un caso paradigmático es HONESTCUE, que utilizó la API de Gemini para subcontratar la generación de funcionalidades, intentando evadir la detección tradicional basada en red y el análisis estático.
Además, el informe señala que los actores de amenazas están integrando capacidades de IA en sus operaciones de intrusión, como se observó con el kit de ‘phishing’ COINBAIT, cuya creación probablemente fue acelerada por herramientas de generación de código mediante IA, que se hacía pasar por un servicio de intercambio de criptomonedas para recolectar credenciales.
El informe también identifica un mercado de servicios de IA concebidos para apoyar actividades maliciosas. En este contexto, GTIG ha notado foros clandestinos en inglés y ruso donde se promocionan y venden herramientas y servicios habilitados por IA.
El informe subraya que los actores maliciosos aún enfrentan dificultades para desarrollar modelos personalizados y, por lo tanto, dependen de modelos de IA más establecidos y maduros.
De este modo, GTIG identificó un kit llamado Xanthorox que se presenta como una IA personalizada para la generación autónoma de código de ‘malware’ y la creación de campañas de ‘phishing’. Como se explica en el informe, el modelo, que fue promocionado como hecho a medida, no era en realidad una IA personalizada, sino que estaba impulsado por múltiples productos de IA comerciales y de terceros.
