Principales destacados
- Grupos respaldados por China, Irán, Corea del Norte y Rusia están utilizando Gemini en todas las etapas de ataques cibernéticos
- Un informe del Grupo de Inteligencia de Amenazas de Google detalla el uso de la IA para phishing, malware y espionaje
- La compañía afirma haber desactivado cuentas y reforzado sus sistemas de seguridad
Un nuevo informe publicado por Google revela que hackers patrocinados por gobiernos extranjeros están utilizando la inteligencia artificial Gemini como herramienta estratégica en operaciones de ciberataque.
Según el documento del Grupo de Inteligencia de Amenazas de Google, la tecnología ha sido empleada desde la fase inicial de reconocimiento hasta el robo directo de datos.
El análisis identifica actividades vinculadas a grupos de China, Irán, Corea del Norte y Rusia, que habrían convertido los modelos de lenguaje avanzados en recursos clave para investigación técnica, selección de objetivos y generación de campañas de phishing cada vez más sofisticadas.
Actores chinos amplían el uso estratégico de la IA
Entre los casos señalados aparece el grupo chino APT31, que habría utilizado Gemini adoptando la identidad de un especialista en ciberseguridad para automatizar análisis de vulnerabilidades contra objetivos en Estados Unidos. La investigación menciona la exploración de fallas como ejecución remota de código, evasión de firewalls e inyecciones SQL.
Otro actor identificado fue Temp.HEX, que recopiló información detallada sobre personas en Pakistán y datos sobre organizaciones separatistas. Según el informe, posteriormente se detectaron campañas dirigidas contra esos mismos individuos.
También figuran en el reporte el grupo iraní APT42 y el actor norcoreano UNC2970, ambos descritos como usuarios activos de la IA para acelerar procesos técnicos y operativos.
Nueva generación de malware aprovecha la API de la IA
El documento destaca además la aparición de una nueva familia de malware denominada HONESTCUE, detectada por primera vez en septiembre de 2025. El código malicioso utiliza la API de Gemini para generar dinámicamente fragmentos en C# que funcionan como cargas de segunda etapa.
La particularidad es que opera directamente en la memoria del sistema, sin dejar archivos en el disco, lo que dificulta su detección por soluciones de seguridad tradicionales.
Los investigadores también identificaron un kit clandestino llamado Xanthorox, promocionado como una IA ofensiva personalizada. En realidad, la herramienta se alimentaba de varios productos comerciales, incluido Gemini, mediante claves de API robadas a usuarios comprometidos.
Intentos de replicar la inteligencia del modelo
Otro punto de alerta es el incremento de los llamados ataques de destilación, una técnica en la que los actores maliciosos realizan miles de consultas para intentar replicar la lógica interna del modelo.
De acuerdo con Google DeepMind, una de las campañas analizadas envió cerca de 100.000 solicitudes con el objetivo de reproducir la capacidad de razonamiento del sistema. La empresa calificó esta práctica como robo de propiedad intelectual, ya que permitiría acelerar el desarrollo de modelos de IA a un costo considerablemente menor.
Google informó que desactivó cuentas e infraestructura vinculadas al abuso detectado y aseguró que continúa reforzando sus clasificadores y mecanismos de protección para evitar nuevos incidentes.
El informe deja en evidencia un desafío creciente: a medida que la inteligencia artificial evoluciona, también aumenta la necesidad de protegerla frente a usos maliciosos cada vez más sofisticados.
