Explotación de autenticación de dos factores desarrollada por IA

Investigadores de ciberseguridad han descubierto un actor malicioso hasta ahora desconocido que aprovecha una vulnerabilidad de día cero, la cual se cree fue desarrollada con la ayuda de inteligencia artificial. Este es el primer caso documentado del uso activo de IA en operaciones maliciosas reales para el descubrimiento de vulnerabilidades y la generación de exploits.

Los investigadores atribuyen la campaña a grupos ciberdelincuentes coordinados que, al parecer, colaboraron en una iniciativa de explotación de vulnerabilidades a gran escala. El análisis de la cadena de ataque reveló una vulnerabilidad de día cero integrada en un script de Python capaz de eludir las protecciones de autenticación de dos factores (2FA) en una plataforma de administración de sistemas web de código abierto ampliamente utilizada.

Aunque no existen pruebas directas que vinculen la herramienta de IA Gemini de Google con la operación, los investigadores concluyeron con alta probabilidad que un modelo de IA desempeñó un papel importante en el descubrimiento y la explotación de la vulnerabilidad. El código Python presentaba varias características comunes asociadas con la salida generada por modelos de lenguaje complejos (LLM), como un formato altamente estructurado, extensas cadenas de documentación educativa, menús de ayuda detallados y una implementación de color ANSI impecable. El script también contenía una puntuación CVSS falsificada, un ejemplo frecuente de manipulación por parte de la IA.

Cómo funcionaba la vulnerabilidad de omisión de la autenticación de dos factores

La vulnerabilidad identificada requería credenciales de usuario legítimas para funcionar correctamente. Los investigadores determinaron que el fallo se originaba en una debilidad de lógica semántica causada por una suposición de confianza codificada en el proceso de autenticación de la aplicación. Este tipo de fallos lógicos de alto nivel se encuentran cada vez más dentro de las capacidades analíticas de los sistemas modernos de gestión del lenguaje natural (LLM).

Los expertos en seguridad advierten que la IA está acelerando drásticamente cada etapa del ciclo de vida de un ciberataque, desde el descubrimiento de vulnerabilidades hasta la validación de exploits y su implementación operativa. El creciente uso de la IA por parte de los ciberdelincuentes reduce el tiempo y el esfuerzo necesarios para identificar debilidades y lanzar ataques, lo que ejerce una presión cada vez mayor sobre los defensores.

La IA amplía el panorama del malware y la explotación.

La inteligencia artificial ya no se limita a ayudar en la investigación de vulnerabilidades. Los ciberdelincuentes ahora la utilizan para crear malware polimórfico, automatizar operaciones maliciosas y ocultar la funcionalidad de los ataques. Un ejemplo notable es PromptSpy, una variante de malware para Android que aprovecha Gemini para analizar la actividad en pantalla y emitir instrucciones que le permiten permanecer visible en la lista de aplicaciones recientes.

Los investigadores también han documentado varios casos de gran repercusión relacionados con actividades maliciosas asistidas por Gemini:

Según los informes, el grupo de ciberespionaje UNC2814, presuntamente vinculado a China, utilizó instrucciones de jailbreaking basadas en la identidad del usuario para obligar a Gemini a asumir el rol de experto en seguridad de redes. El objetivo era respaldar la investigación de vulnerabilidades dirigidas a dispositivos integrados, incluyendo el firmware de TP-Link y las implementaciones del Protocolo de Transferencia de Archivos Odette (OFTP).

Supuestamente, el grupo de ciberdelincuentes norcoreano APT45 emitió miles de mensajes recursivos diseñados para analizar vulnerabilidades (CVE) y validar exploits de prueba de concepto.

Según se informa, el grupo de hackers chino APT27 utilizó Gemini para acelerar el desarrollo de una aplicación de gestión de flotas, probablemente destinada a gestionar una infraestructura de caja de relés operativa (ORB).

Las operaciones de intrusión vinculadas a Rusia, dirigidas a organizaciones ucranianas, desplegaron familias de malware asistidas por IA conocidas como CANFAIL y LONGSTREAM, las cuales incorporaban código señuelo generado por LLM para enmascarar el comportamiento malicioso.

Datos de entrenamiento utilizados como armas y operaciones de IA autónoma

Además, se ha observado que ciberdelincuentes experimentan con un repositorio especializado de GitHub llamado 'wooyun-legacy', diseñado como un complemento para la habilidad de código Claude. Este repositorio contiene más de 5000 casos de vulnerabilidades reales recopilados originalmente por la plataforma china de divulgación de vulnerabilidades WooYun entre 2010 y 2016.

Al introducir este conjunto de datos en sistemas de IA, los atacantes pueden habilitar el aprendizaje contextual, que entrena a los modelos para analizar el código fuente con la precisión de investigadores de seguridad experimentados. Esto mejora significativamente la capacidad de la IA para identificar fallos lógicos sutiles que los modelos estándar podrían pasar por alto.

Los investigadores también revelaron que un presunto actor de amenazas vinculado a China desplegó herramientas de IA como Hexstrike AI y Strix durante ataques contra una empresa tecnológica japonesa y una importante plataforma de ciberseguridad de Asia Oriental. Según se informa, estas herramientas permitieron operaciones automatizadas de reconocimiento y descubrimiento con una mínima intervención humana.

Las crecientes implicaciones de seguridad de la IA ofensiva

Los hallazgos ponen de manifiesto un cambio radical en el panorama de las ciberamenazas. La IA está evolucionando rápidamente, pasando de ser una herramienta de productividad a un multiplicador de fuerza para las operaciones cibernéticas ofensivas. Desde el descubrimiento de vulnerabilidades de día cero hasta la automatización del despliegue de malware y la mejora del sigilo operativo, la inteligencia artificial está transformando radicalmente la forma en que se planifican y ejecutan los ciberataques.

A medida que las capacidades cibernéticas impulsadas por la IA continúan madurando, las organizaciones se enfrentan a un futuro en el que los ataques se vuelven más rápidos, más adaptables y cada vez más difíciles de detectar antes de que se produzcan daños.