Archivo - Inteligencia Artificial. - PIXABAY. - Archivo
MADRID, 12 Feb. (Portaltic/EP) -
La inteligencia artificial (IA) se ha convertido en un objetivo de los cibercriminales, que buscan clonar los modelos propietarios, pero también en la herramienta que permite perfeccionar y lanzar ataques, lo que en paralelo ha hecho crecer un mercado clandestino de servicios de IA.
El año pasado se detectó un aumento de los conocidos como ataques de destilación, es decir, intentos de extracción de modelos de IA generativa para obtener información sobre su funcionamiento para clonarlos.
El objetivo es el razonamiento subyacente de los modelos y los procesos de la cadena de pensamiento, como se recoge en el último informe 'AI Threat Tracker' de Google Threat Intelligence Group (GTIG). En él, además, se señala que Un objetivo común para los atacantes es la capacidad de razonamiento de Gemini.
Este informe destaca, asimismo, el uso de la inteligencia artificial por parte de los actores maliciosos en todo el ciclo de vida del ataque, que abarca desde tareas de codificación y creación de 'scripts', hasta la recopilación de información sobre objetivos potenciales, la investigación de vulnerabilidades conocidas públicamente y la habilitación de actividades posteriores al compromiso.
Esta práctica se ha identificado en actores de amenazas respaldados por gobiernos, como APT42, vinculado a Irán, que usó modelos de IA generativa para buscar correos electrónicos oficiales de entidades específicas y realizar reconocimientos sobre posibles socios comerciales para establecer un pretexto creíble.
También se cita UNC2970, relacionado con Corea del Norte, que utilizó Gemini para sintetizar inteligencia de fuentes abiertas (OSINT) y perfilar objetivos de alto valor para respaldar la planificación y el reconocimiento de campañas.
La IA también se ha utilizado de manera experimental para implementar nuevas capacidades en el 'malware'. Un ejemplo de ello es HONESTCUE, en el que se aprovechó la API de Gemini para subcontratar la generación de funcionalidades, en un intento de eludir la detección tradicional basada en red y el análisis estático.
Adicionalmente, el informe recoge que los actores de amenazas integran capacidades de IA en sus operaciones de intrusión, como ocurrió con el kit de 'phishing' COINBAIT, cuya construcción probablemente fue acelerada por herramientas de generación de código mediante IA, el cual se hacía pasar por un servicio intercambio de criptomonedas para la recolección de credenciales
El informe identifica también un mercado de servicios de IA diseñados para respaldar las actividades maliciosas. En este sentido, GTIG ha observado foros clandestinos en inglés y ruso en los que se promocionan y venden herramientas y servicios habilitados para IA.
El informe destaca que los actores de amenazas tienen todavía dificultades para desarrollar modelos personalizados y, en cambio, confían en modelos de IA maduros y existentes.
Así, GTIG identificó un kit denominado Xanthorox que se anuncia como una IA personalizada para la generación autónoma de código de 'malware' y el desarrollo de campañas de 'phishing'. Como se explica en el informe, el modelo, que fue publicitado como hecho a medida, no era una IA personalizada, sino que estaba potenciada por varios productos de IA comerciales y de terceros.
Andalucía
Aragón
Cantabria
Castilla-La Mancha
Castilla y León
Catalunya
Extremadura
Galicia
Islas Canarias
Islas Baleares
Madrid
País Vasco
La Rioja
C. Valenciana
Navarra
Asturias
Murcia
Ceuta y Melilla
