sistema: OPERATIVO
← volver a todos los hacks
OFFENSIVE AI MEDIUM NEW

Zero-days generados por IA y malware autónomo llegan a la práctica

El informe de amenazas de Google (mayo de 2026) documenta el primer zero-day que un atacante creó con IA y un malware que consulta a un modelo en ejecución para decidir sus acciones.

2026-07-05 // 7 min affects: gemini-2.5-flash-lite, claude-code-skills, llm-coding-assistants, ai-agents

¿Qué es esto?

El 11 de mayo de 2026, el Google Threat Intelligence Group (GTIG) publicó su último AI Threat Tracker, continuación de su informe de febrero de 2026, basado en las respuestas a incidentes de Mandiant, la telemetría de abuso de Gemini y la investigación propia del GTIG. Destacan dos hallazgos. Primero, el GTIG afirma haber observado —por primera vez— a un actor usando IA para descubrir y armar un zero-day. Segundo, describe un malware cuya lógica ya no viaja como código estático: consulta a un modelo de lenguaje en tiempo de ejecución para decidir qué hacer.

El informe describe una transición «desde operaciones incipientes asistidas por IA hacia la aplicación a escala industrial de modelos generativos en los flujos de trabajo adversarios». Para los defensores, la señal útil no es el pánico sino la precisión: el informe muestra exactamente cómo los atacantes integran los modelos en su instrumental, lo que indica dónde mirar.

Cómo funciona

El caso del zero-day involucró a actores criminales que preparaban una operación de explotación masiva. Según el GTIG, es probable que se usara un modelo de IA para identificar una falla y producir un script en Python que evade la autenticación de dos factores de una herramienta de administración de sistemas de código abierto, muy difundida y accesible por web. El GTIG trabajó con el proveedor para divulgar y corregir la falla antes del lanzamiento de la campaña. Cabe señalar que el informe precisa que ni Gemini ni el modelo de clase Mythos de Anthropic fueron el modelo empleado por el atacante.

Lo interesante del caso es el indicio forense. El GTIG evaluó el exploit como generado por IA por huellas estilísticas en el código: abundancia de docstrings educativos, una estructura «pythónica» de manual con menús de ayuda detallados y —el indicio decisivo— una puntuación CVSS alucinada incrustada en el script. Un desarrollador humano no inventa una calificación de severidad para su propio zero-day; un modelo entrenado con análisis de vulnerabilidades, sí, porque es lo que suele contener el texto circundante.

El caso del malware autónomo es la puerta trasera de Android que el GTIG rastrea como PROMPTSPY. Contiene un módulo llamado «GeminiAutomationAgent» que ejecuta un prompt codificado con una persona benigna. En ejecución, el malware serializa la jerarquía de la interfaz visible del dispositivo a un formato similar a XML mediante la API de accesibilidad, la envía al modelo gemini-2.5-flash-lite con una petición HTTP POST en modo JSON y recibe una respuesta JSON estructurada que dicta sus siguientes acciones hacia un objetivo dado. El modelo se convierte en el cerebro de comando y control, interpretando el estado real del dispositivo en lugar de seguir un script fijo. El GTIG documenta familias evasivas afines (PROMPTFLUX, HONESTCUE) que recurren a modelos para modificarse u ofuscarse de forma dinámica, atribuidas a actores presuntamente vinculados a Rusia.

El informe también recopila conductas de apoyo: actores vinculados a la RPC y la RPDC que practican el prompting con persona de experto —un grupo pidió a un modelo que actuara como «auditor de seguridad senior» o «experto en seguridad de binarios C/C++» para investigar objetivos embebidos— y la experimentación con un repositorio empaquetado como plugin de habilidad para agentes de código, que agrupa una base de conocimiento destilada de más de 85 000 casos reales de vulnerabilidades. Por último: acceso ofuscado a modelos premium mediante intermediarios y reciclaje de cuentas, y la operación de influencia prorrusa «Operation Overload», que genera medios sintéticos a gran escala.

Por qué importa

La frase más útil es de John Hultquist, analista jefe del GTIG: «Existe la idea errónea de que la carrera de vulnerabilidades por IA es inminente. La realidad es que ya empezó. Por cada zero-day que podemos rastrear hasta la IA, probablemente hay muchos más ahí fuera.»

Dos cambios importan para los defensores. El hallazgo del zero-day comprime el calendario: se pasa de «un modelo puede sugerir ideas de exploit» a «un modelo produjo un exploit armado y funcional, integrado en un plan operativo». El hallazgo del malware autónomo rompe una vieja suposición de detección: el análisis estático y las firmas funcionan en parte porque el malware transporta su lógica. Cuando esa lógica reside en un modelo alojado y llega como JSON en ejecución, la muestra en disco es más delgada y su comportamiento se decide en otro lugar, y puede cambiar entre ejecuciones.

Nada de esto significa que la IA haya creado una nueva clase de ataque imparable. La campaña de evasión de 2FA se detectó y detuvo antes de su uso, y el uso más común de los modelos por parte de los atacantes sigue siendo la investigación y la resolución de problemas rutinarias. El mensaje es direccional: la IA baja la barrera y aumenta la velocidad, así que el atacante marginal se vuelve más capaz.

Defensas

La mitad alentadora del informe es que esas mismas capacidades sirven en ambos sentidos. Google indica que usa agentes de IA como Big Sleep para encontrar vulnerabilidades y CodeMender para ayudar a corregirlas automáticamente, y fue su descubrimiento proactivo lo que interrumpió la campaña del zero-day. Los defensores deberían tratar la investigación de vulnerabilidades y la generación de parches asistidas por IA como base, no como novedad.

Frente a un malware que razona en ejecución como PROMPTSPY, el endpoint del modelo es el punto de paso obligado. Como la puerta trasera depende de alcanzar un modelo alojado para recibir instrucciones, el control del tráfico saliente es decisivo: vigile y restrinja las conexiones salientes hacia las API de modelos desde equipos que no tengan motivo para emitirlas, y trate como altamente sospechoso el binomio uso inesperado de la API de accesibilidad + llamada LLM saliente. El tráfico de C2 tiene forma de modelo —intercambios JSON de objetivo/respuesta—, lo que da a la ingeniería de detección un asidero concreto.

Frente al código de exploit generado por IA, el indicio del CVSS alucinado se generaliza: los artefactos escritos por un LLM llevan residuos estilísticos (docstrings sobrecomentados, estructura de manual, metadatos fabricados). Señales débiles por separado, pero útiles en el triaje, y conviene registrarlas como heurísticas de detección en lugar de descartarlas. En un plano más amplio, considere la mitigación de abusos de los proveedores de modelos como parte de su cadena de suministro: los intermediarios de acceso premium ofuscado existen precisamente para burlar los controles del proveedor, de modo que las señales de abuso de cuentas comunicadas por los proveedores son inteligencia accionable.

Por último, los detalles sobre el prompting con persona de los actores estatales recuerdan que los jailbreaks de «persona de experto» siguen siendo una técnica vigente contra los modelos asistentes; endurecer los agentes de código integrados en herramientas frente a este encuadre es el mismo trabajo defensivo que protege a los usuarios legítimos.

Estado

Se trata de un informe de inteligencia de amenazas que describe conductas adversarias observadas, no de una vulnerabilidad de producto única con un identificador asignado. El zero-day desarrollado con IA se divulgó de forma responsable y se corrigió antes de cualquier despliegue; el GTIG no nombró la herramienta de administración afectada.

ElementoDetalle
FuenteGoogle Threat Intelligence Group, «GTIG AI Threat Tracker»
Publicación11 de mayo de 2026 (continuación del informe GTIG de febrero de 2026)
Hallazgo principalPrimer caso observado de un atacante usando IA para descubrir y armar un zero-day
Objetivo del zero-dayEvasión de 2FA en una herramienta de administración de sistemas web de código abierto (no nombrada)
Indicios de generación por IADocstrings educativos, estructura pythónica de manual, puntuación CVSS alucinada
Malware autónomoPROMPTSPY (Android) — módulo «GeminiAutomationAgent» que dirige las acciones vía gemini-2.5-flash-lite en ejecución
Familias evasivasPROMPTFLUX, HONESTCUE (automodificación dinámica, presuntamente vinculadas a Rusia)
Herramientas defensivas citadasBig Sleep (descubrimiento de vulnerabilidades), CodeMender (corrección automatizada)

Ambas fuentes tienen menos de 90 días. La conclusión es mesurada pero real: la IA es ya a la vez arma y objetivo en operaciones en curso, y las defensas más duraderas —control del tráfico saliente, señales de abuso de los proveedores, parcheo asistido por IA y endurecimiento de los asistentes frente a jailbreaks por persona— prolongan prácticas que los defensores ya conocen, aplicadas a un adversario más rápido.

Sources