Google identifica el primer exploit de día cero desarrollado con IA
Google ha confirmado el primer caso conocido de un exploit de día cero desarrollado mediante inteligencia artificial. El Grupo de Inteligencia sobre Amenazas de la compañía, GTIG, publicó su informe AI Threat Tracker el 11 de mayo de 2026, en el que se detalla cómo un destacado grupo de ciberdelincuentes utilizó un modelo de IA para identificar y convertir en arma un fallo de seguridad en una popular herramienta de administración web de código abierto. La vulnerabilidad eludía la autenticación de dos factores. Google trabajó con el proveedor afectado para parchearla y cree que su intervención puede haber desbaratado la campaña de explotación masiva planeada por el grupo antes de que se pusiera en marcha.
El GTIG declaró que confía plenamente en que un modelo de IA, y no un investigador humano, escribió el script de explotación en Python. El código lo delataba. Contenía abundantes docstrings educativos, una puntuación de gravedad CVSS alucinante, menús de ayuda detallados y un estilo de formato limpio y estructurado característico de los datos de entrenamiento de grandes modelos lingüísticos. Estas no son cosas que incluiría un humano que estuviera escribiendo una herramienta de ataque. El fallo del objetivo en sí era un error de lógica semántica: un desarrollador había codificado una suposición de confianza en el flujo de autenticación, creando una contradicción con la lógica de aplicación de 2FA que los escáneres de seguridad tradicionales pasaron por alto, pero que la IA aparentemente detectó leyendo la intención del desarrollador en lugar de limitarse a analizar el código mecánicamente. Según el informe, ni los propios modelos Gemini de Google ni Mythos de Anthropic fueron utilizados por los atacantes.
Por qué casi funcionó y por qué no
Los atacantes planearon una campaña de explotación masiva, dirigida a la herramienta de código abierto a escala con el exploit generado por la IA. El contra-descubrimiento proactivo de GTIG parece haber cortado ese plan antes de que ganara tracción. Los errores en la implementación del exploit también interfirieron probablemente. "La parte incómoda para todos los demás es que esto todavía parece ser la torpe fase inicial", señaló The Register en su cobertura. Los errores en la ejecución salvaron a muchas víctimas potenciales esta vez. Puede que eso no se mantenga. El analista jefe de GTIG, John Hultquist lo dijo claramente: "Existe la idea errónea de que la carrera de la vulnerabilidad de la IA es inminente. La realidad es que ya ha comenzado. Por cada día cero que podamos rastrear hasta la IA, probablemente haya muchos más ahí fuera"
El fallo de lógica semántica en el corazón del exploit apunta a algo más preocupante que un incidente puntual. Los escáneres tradicionales están construidos para detectar hundimientos, bloqueos y corrupción de memoria. No leen el código tal y como lo escribe un desarrollador. Los LLM sí lo hacen. Pueden correlacionar la intención con la implementación, detectar contradicciones entre el diseño y la ejecución, y sacar a la superficie errores lógicos latentes que parecen funcionalmente correctos a todas las herramientas automatizadas actualmente en uso. El GTIG describió esto como una capacidad creciente que las herramientas de seguridad tradicionales están estructuralmente mal equipadas para contrarrestar.
El panorama más amplio del informe del GTIG
El caso del día cero es una parte de un patrón más amplio que documenta el informe. El grupo norcoreano APT45 ha estado enviando miles de avisos repetitivos a modelos de IA para analizar recursivamente las vulnerabilidades y construir un arsenal de exploits a una escala que sería impracticable de forma manual. Un actor vinculado a China e identificado como UNC2814 utilizó avisos de jailbreak de persona experta para empujar a Gemini a investigar defectos de ejecución remota de código previo a la autenticación en el firmware del router TP-Link. Los grupos rusos han estado utilizando audio generado por IA empalmado en secuencias de noticias legítimas para operaciones de influencia. Aparte de estos, GTIG documentó Android backdoors que utilizan llamadas a la API Gemini para navegar de forma autónoma por los dispositivos infectados, y familias de malware rellenadas con código generado por IA específicamente para confundir el análisis.
En marzo de 2026, el grupo criminal TeamPCP comprometió LiteLLM, una biblioteca de puerta de enlace de IA ampliamente utilizada, incrustando un ladrón de credenciales a través de paquetes PyPI envenenados y pull requests maliciosos. Las claves de AWS y los tokens de GitHub robados se monetizaron mediante asociaciones de ransomware. El ataque se dirigió a la capa de integración en torno a los sistemas de IA en lugar de a los propios modelos, un patrón que, según GTIG, se está convirtiendo en estándar. Los modelos de frontera son difíciles de comprometer directamente. Los conectores, envoltorios y capas API que los rodean no lo son.
La IA no sólo está siendo utilizada como arma por los atacantes. También se está utilizando como señuelo. Notebookcheck cubrió cómo un sitio web falso de Claude AI impulsó la semana pasada la puerta trasera Beagle Windows a través de los resultados de búsqueda patrocinados de Google, utilizando un instalador troyanizado para desplegar una herramienta de acceso remoto dirigida a desarrolladores que buscaban herramientas Claude Code
