Alertan del uso creciente de IA en ciberataques y espionaje contra la industria de defensa

Google Threat Intelligence Group (GTIG) ha publicado su nuevo informe AI Threat Tracker, donde documenta cómo los actores de amenazas han pasado de experimentar con inteligencia artificial a integrarla activamente en sus operaciones maliciosas a finales de 2025.

El estudio detalla un aumento significativo en los ataques dirigidos contra plataformas de IA y revela cómo los ciberdelincuentes están utilizando modelos avanzados como Gemini para mejorar sus capacidades ofensivas.

Aumentan los ataques de extracción de modelos o “destilación”

Uno de los hallazgos más relevantes es el crecimiento de los llamados ataques de extracción o destilación de modelos, cuyo objetivo es robar propiedad intelectual y replicar el razonamiento interno de modelos de IA avanzados. Según GTIG y Google DeepMind, estos intentos provienen tanto de actores privados como de investigadores académicos que buscan clonar la lógica propietaria de sistemas como Gemini.

El informe confirma que grupos respaldados por gobiernos están utilizando IA a lo largo de todo el ciclo de vida del ciberataque, especialmente en tareas de reconocimiento e ingeniería social. Entre los casos destacados:

• APT42 (Irán): utilizó modelos de IA generativa para reforzar campañas de ingeniería social, investigando correos oficiales y posibles socios comerciales para crear pretextos creíbles.
• UNC2970 (Corea del Norte): empleó Gemini para sintetizar inteligencia de fuentes abiertas (OSINT) y perfilar objetivos estratégicos en el sector defensa.

Crece el malware integrado con IA

GTIG también ha observado un incremento de muestras de malware que incorporan capacidades de IA. Un ejemplo es HONESTCUE, que utilizó la API de Gemini para generar funcionalidades dinámicas con el objetivo de evadir mecanismos tradicionales de detección basados en red y análisis estático.

La investigación identifica además el kit de phishing COINBAIT, diseñado para suplantar a un importante exchange de criptomonedas. Su desarrollo habría sido acelerado mediante herramientas de generación de código impulsadas por IA.

Mercado negro de servicios de IA y robo de claves API

Los foros clandestinos en inglés y ruso muestran un creciente interés por herramientas de IA aplicadas a actividades maliciosas. Sin embargo, muchos actores no desarrollan modelos propios, sino que reutilizan sistemas comerciales existentes.

Un caso relevante es Xanthorox, promocionado como IA personalizada para generar malware y campañas de phishing, aunque GTIG comprobó que en realidad se basaba en productos comerciales de terceros.

Segundo informe: Amenazas contra la industria de defensa

En paralelo, GTIG ha publicado el informe “Beyond the Battlefield: Threats to the Defense Industrial Base”, coincidiendo con la Conferencia de Seguridad de Múnich. El documento analiza cómo los conflictos actuales se extienden al ciberespacio, afectando especialmente a empresas que desarrollan tecnologías militares de nueva generación.

Las compañías que desarrollan sistemas de aeronaves no tripuladas (UAS), utilizados en la guerra entre Rusia y Ucrania, están siendo objeto de ataques directos y campañas de suplantación. En Europa, el grupo UNC5976 habría lanzado campañas de phishing desde enero de 2025 suplantando contratistas en Reino Unido, Alemania, Francia, Suecia y Noruega.

El informe identifica a actores vinculados a China como la amenaza estatal más activa por volumen, con un enfoque creciente en la explotación de dispositivos periféricos (edge devices) para mantener accesos persistentes y sigilosos a organizaciones de defensa.

La cadena de suministro, vulnerabilidad crítica

Aunque las empresas de defensa no concentran la mayor parte del ransomware, el sector manufacturero y los proveedores de uso dual sufren ataques constantes, lo que pone en riesgo la capacidad de producción en situaciones de crisis.

Luke McNamara, Deputy Chief Analyst de GTIG, señala: “La industria de la Defensa sigue siendo un objetivo primordial para las operaciones cibernéticas sofisticadas. Desde los ataques contra desarrolladores de drones en Ucrania hasta las campañas de espionaje vinculadas a China, el panorama de amenazas evoluciona rápidamente”.

(silicon.es)

Seguiremos brindándote más información sobre este tema en las siguientes presentaciones físicas y digitales de Channel News Perú

Mantente conectado a nuestra plataforma de negocios y revista, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario