En un mundo cada vez más interconectado y digitalizado, la inteligencia artificial (IA) ha emergido como un objetivo del creciente fenómeno de la ciberdelincuencia, donde los criminales buscan no solo replicar modelos de IA de empresas, sino también utilizar tales avances tecnológicos para llevar a cabo sus ataques más sofisticados. Este contexto ha dado lugar a la aparición de un mercado negro dedicado a ofrecer servicios relacionados con la IA, lo que pone de relieve la dualidad de esta herramienta tecnológica.

Recientemente, se ha documentado un notable ascenso en los llamados ataques de destilación, donde los cibercriminales intentan extraer datos de modelos de IA generativa para obtener información clave que les permita clonar estos sistemas. Esta tendencia está evidenciada en el informe más reciente titulado 'AI Threat Tracker', elaborado por el Google Threat Intelligence Group (GTIG).

El análisis revela que el enfoque de los atacantes radica en comprender los fundamentos lógicos de los modelos de IA, así como los procesos que alimentan su capacidad de razonamiento. Entre los objetivos destacados, se menciona especialmente el modelo Gemini, que se ha convertido en blanco de interés por sus habilidades distintivas en el ámbito de la inteligencia artificial.

El informe también subraya la integración de la inteligencia artificial en todas las etapas del ciclo de ataque, que comprende desde la creación de códigos y 'scripts' hasta la recopilación y análisis de información sobre los objetivos elegidos, así como la búsqueda de vulnerabilidades ya conocidas y la facilitación de actividades que siguen a la intrusión.

En este contexto, incluso hay ejemplos de grupos de amenazas respaldados por naciones que hacen uso de la IA. Uno de estos casos es APT42, ligado a Irán, que ha empleado modelos de IA generativa para buscar correos electrónicos institucionales y hacer investigaciones sobre socios comerciales potenciales, con el fin de crear falsos pretextos que les faciliten el phishing.

Además, se menciona al grupo UNC2970, vinculado a Corea del Norte, que utilizó el modelo Gemini para sintetizar información de fuentes abiertas (OSINT) y elaborar perfiles de individuos de interés, con el objetivo de planificar campañas dirigidas.

La inteligencia artificial no solo se limita al análisis y a la planificación, sino que también se ha experimentado con su aplicación en el campo del 'malware'. Un ejemplo es HONESTCUE, un software malicioso que hizo uso de la API de Gemini para delegar la generación de nuevas funcionalidades, buscando así evadir las medidas de detección convencionales.

El informe también identifica un emergente mercado de servicios de IA destinados a facilitar estas actividades delictivas. A través de foros clandestinos en inglés y ruso, los actores maliciosos promueven y comercializan herramientas impulsadas por inteligencia artificial que les permiten realizar sus ataques de manera más efectiva.

Sin embargo, el informe destaca que, a pesar de los esfuerzos, los cibercriminales aún enfrentan desafíos para crear modelos de IA personalizados. La mayoría de ellos se ven obligados a recurrir a modelos de IA consolidados y accesibles en el mercado. Un claro ejemplo de esto es el kit denominado Xanthorox, que se presenta como una IA adaptada para la creación autónoma de código de 'malware' y operaciones de phishing. No obstante, el modelo que promete ser personalizado resulta ser una simple combinación de productos comerciales y herramientas de terceros.