Los actores de amenazas pasan de experimentar con IA a integrarla en ataques reales
- Seguridad
Uno de los fenómenos más destacados es el aumento de los ataques de extracción o destilación de modelos, junto con nuevas tácticas de ingeniería social, un crecimiento sostenido del malware que integra IA y un mercado negro creciente de claves API robadas.
Google Threat Intelligence Group (GTIG) ha publicado su nuevo AI Threat Tracker, en el que documenta cómo los actores de amenazas globales han evolucionado desde la experimentación con IA hacia una integración activa a finales de 2025.
Uno de los fenómenos más destacados es el aumento de los ataques de extracción o destilación de modelos, dirigidos a clonar la lógica y el razonamiento de sistemas avanzados como Gemini. GTIG y Google DeepMind detectaron intentos procedentes tanto de empresas privadas como de investigadores académicos, todos ellos interesados en replicar capacidades propietarias.
IA para potenciar la ingeniería social
El informe detalla cómo los actores respaldados por gobiernos están utilizando IA en todas las fases de sus operaciones, desde la recopilación de información hasta la ejecución de campañas de intrusión.
APT42 (Irán) empleó modelos generativos para intensificar el reconocimiento y crear pretextos más creíbles en campañas de ingeniería social. El grupo utilizó IA para localizar correos oficiales y analizar posibles socios comerciales.
Por su parte, UNC2970 (Corea del Norte) continuó su actividad contra el sector defensa, haciéndose pasar por reclutadores corporativos. El grupo usó Gemini para sintetizar OSINT y perfilar objetivos de alto valor.
Malware y phishing impulsados por IA
GTIG también confirma un crecimiento sostenido del malware que integra IA. Entre los ejemplos recientes destaca HONESTCUE, una familia que utilizó la API de Gemini para generar funcionalidades de forma externa y así dificultar la detección tradicional.
En paralelo, los actores de amenazas están acelerando la creación de kits de phishing generados mediante IA. El informe cita COINBAIT, un kit que imitaba a un gran exchange de criptomonedas y cuya construcción se habría beneficiado de herramientas de generación de código.
El análisis de foros clandestinos en inglés y ruso muestra una demanda creciente de herramientas de IA para actividades maliciosas. Sin embargo, los atacantes siguen teniendo dificultades para crear modelos propios y dependen de sistemas comerciales existentes. Esto ha impulsado el mercado de claves API robadas, esenciales para explotar modelos avanzados sin coste ni restricciones.
Un ejemplo es Xanthorox, un kit que se anunciaba como una IA personalizada para generar malware y campañas de phishing. GTIG descubrió que, en realidad, estaba alimentado por varios modelos comerciales y de terceros, y no por un sistema propio.
