Cargando precios...
Registrarse
BlockchainProyectos y CriptomonedasRegulación y LegislaciónTecnologías y Protocolos

Google detecta el primer ataque de día cero creado con IA para saltarse el 2FA en cripto

Arturo Trenard Arturo Trenard · · 6 min de lectura
Únete a nuestro Canal de Telegram

Google detecta el primer ataque de día cero creado con IA para saltarse el 2FA en cripto

El grupo de inteligencia de amenazas de Google afirma que hackers utilizaron un modelo de lenguaje grande (LLM) para explotar una vulnerabilidad lógica de alto nivel, marcando un hito en la ciberdelincuencia asistida por inteligencia artificial.

Google ha identificado lo que considera el primer caso documentado de piratas informáticos que utilizan inteligencia artificial para desarrollar un exploit de día cero. El ataque, dirigido a una popular herramienta de administración web de código abierto, logró eludir la autenticación de dos factores (2FA) —un mecanismo de seguridad crítico para cuentas y wallets de criptomonedas—, aunque requería credenciales válidas previas. El hallazgo, publicado el martes por el Google Threat Intelligence Group, subraya la creciente industrialización del abuso de LLMs por parte de actores de amenazas.

El primer exploit de día cero generado por IA según Google

El Google Threat Intelligence Group confirmó la detección de un exploit de día cero que permite eludir la autenticación de dos factores (2FA). Aunque el actor de amenazas no fue identificado públicamente, Google señaló que China y Corea del Norte han mostrado «interés significativo» en capitalizar la inteligencia artificial para el descubrimiento de vulnerabilidades.

El ataque se dirigió contra una herramienta de administración web de código abierto y «popular», cuyo nombre no fue revelado. Para ejecutar el exploit, los atacantes necesitaban credenciales de usuario válidas. Sin embargo, una vez obtenidas, el código malicioso lograba bypassear el segundo factor de autenticación, un mecanismo de seguridad esencial para proteger cuentas y wallets de criptomonedas.

La relevancia de este hallazgo para el ecosistema cripto es significativa, dado que el 2FA constituye una de las principales barreras de seguridad para exchanges, wallets digitales y plataformas de trading descentralizadas.

Vulnerabilidad «semántica» y no un error de memoria común

Google explicó que la vulnerabilidad explotada no corresponde a errores de implementación habituales, como la corrupción de memoria. En su lugar, se trata de un «fallo lógico semántico de alto nivel», donde el desarrollador codificó de forma rígida una suposición de confianza que los atacantes lograron vulnerar.

Un fallo lógico de confianza implícita

Los investigadores denominaron esta vulnerabilidad como «Hardcoded Trust Assumption». En esencia, el software asumía implícitamente que ciertas condiciones de seguridad se cumplirían sin verificarlas adecuadamente, permitiendo que un atacante con credenciales válidas omitiera el segundo factor de autenticación.

La firma de un LLM de frontera

Uno de los aspectos más reveladores del análisis fue la presencia de una «alucinación» (hallucination) y un formato «altamente característico» en el código del exploit, que coincidía con los patrones típicos de los datos de entrenamiento de un modelo de inteligencia artificial.

Google aseguró tener «alta confianza» en que el actor utilizó un modelo de IA tanto para el descubrimiento como para la «armamentización» de la vulnerabilidad. Los modelos LLM de frontera, explicaron, son particularmente efectivos para identificar este tipo de fallos, conocidos como «hardcoded static anomalies», que pasan desapercibidos en auditorías de seguridad tradicionales.

El abuso de acceso a LLMs se vuelve industrializado

El hallazgo de Google revela una tendencia más amplia: los actores de amenazas han construido pipelines automatizados para explotar modelos de lenguaje grande a escala industrial.

Automatización y evasión de barreras de seguridad

Según el informe, los ciberdelincuentes han desarrollado sistemas automatizados para:

  • Reciclar cuentas premium de IA.
  • Agrupar claves API.
  • Evitar las salvaguardas de seguridad a gran escala.

Para mantener un acceso anónimo de alto volumen, los atacantes utilizan navegadores anti-detección y servicios de pooling de cuentas, lo que les permite operar sin ser detectados por los sistemas de seguridad de los proveedores de IA.

Malware que ya aprovecha LLMs

Google identificó familias de malware como PROMPTFLUX, HONESTCUE y CANFAIL que ya utilizan LLMs para la evasión de defensas. Estos programas maliciosos generan código de relleno o señuelo con el objetivo de camuflar la lógica maliciosa, dificultando su detección por parte de los sistemas antivirus tradicionales.

El ecosistema de IA como nuevo objetivo principal

La conclusión de Google es clara: el ecosistema de software de inteligencia artificial se ha convertido en un objetivo prioritario para los ciberdelincuentes. Skills autónomos, conectores de datos de terceros y otros componentes del ecosistema IA representan vectores de ataque emergentes.

No obstante, los investigadores introdujeron un matiz importante: hasta ahora, los actores de amenazas no han logrado desarrollar «capacidades innovadoras» para sortear la lógica de seguridad central de los modelos de frontera.

IA y Ciberseguridad: Una Amenaza Creciente para el Sector Cripto

El hallazgo de Google se suma a otros acontecimientos recientes que alertan sobre la convergencia entre inteligencia artificial y ciberseguridad, especialmente en el ámbito de las criptomonedas.

Antecedentes recientes

El mes pasado, Anthropic afirmó que su modelo Claude Mythos encontró miles de vulnerabilidades en sistemas importantes, demostrando la capacidad de la IA para identificar fallos de seguridad a gran escala.

Paralelamente, agentes de IA como OpenClaw, mencionado por la firma de seguridad blockchain CertiK, podrían drenar wallets de criptomonedas mediante «habilidades maliciosas» diseñadas para operar de forma autónoma.

Implicaciones para la seguridad blockchain y de wallets

El bypass de 2FA representa una amenaza directa para la seguridad de wallets y exchanges de criptomonedas. Dado que la autenticación de dos factores es uno de los mecanismos más utilizados para proteger fondos digitales, un exploit que logre eludirla, incluso requiriendo credenciales previas, abre la puerta a ataques más sofisticados contra el ecosistema cripto.

El Futuro de las Amenazas Cibernéticas Asistidas por IA

El hito confirmado por Google marca un punto de inflexión en la ciberseguridad global. La inteligencia artificial ya no es solo una herramienta defensiva, sino que se ha convertido en un arma de doble filo capaz de generar amenazas sofisticadas.

Para la industria de la seguridad, especialmente en el ámbito de las criptomonedas, este hallazgo implica una necesidad urgente de:

  • Integrar defensas basadas en IA que puedan contrarrestar ataques generados por modelos similares.
  • Revisar la seguridad lógica, no solo los errores de memoria tradicionales, en el desarrollo de software.
  • Establecer protocolos de auditoría específicos para identificar «hardcoded trust assumptions» y otros fallos semánticos.

La pregunta que queda abierta para la industria, particularmente para el sector cripto, es cómo prepararse para esta nueva era de exploits «semánticos», donde la inteligencia artificial no solo defiende, sino que también aprende a atacar de formas que los desarrolladores humanos no anticipan.

Click to rate this post!
[Total: 0 Average: 0]
Compartir: Facebook Instagram X WhatsApp Telegram LinkedIn Copiar enlace

Noticias Relacionadas