Un grupo vinculado al régimen de Corea del Norte ha comenzado a utilizar modelos de lenguaje como Gemini para generar código malicioso y robar activos digitales. Google ha respondido con bloqueos y nuevas medidas de seguridad, pero el caso marca un punto de inflexión en el uso de la inteligencia artificial en ciberataques.
Durante años, los modelos de lenguaje como Gemini fueron vistos como herramientas de productividad, capaces de redactar correos, resumir documentos o escribir código útil. Pero en manos equivocadas, esa misma capacidad puede convertirse en un arma. Así lo demuestra el caso del grupo de hackers norcoreano UNC1069, also known as Masan, que ha comenzado a utilizar Gemini para generar scripts de phishing y robar activos digitales.
According to report del Google Threat Intelligence Group (GTIG), este grupo de hackers ha integrado el modelo de IA en sus operaciones de forma activa. Ya no se trata solo de usar la IA para investigar o automatizar tareas, sino que ahora la invocan durante la ejecución de sus ataques para generar código malicioso en tiempo real, una técnica que Google ha bautizado como “just-in-time code creation”.
Para los investigadores, esto representa un cambio importante respecto al malware tradicional, que suele tener su lógica codificada de forma estática. Al generar código sobre la marcha, los atacantes pueden adaptarse al entorno, evadir sistemas de detección y personalizar sus ataques según el objetivo. En otras palabras, el malware ahora “piensa”.
Opera tus criptos con seguridad en Bit2Me¿Qué buscan los hackers de Masan? Billeteras, claves y phishing multilingüe
El objetivo de UNC1069, de acuerdo con la investigación, es steal cryptocurrency. Para lograrlo, los hakers han recurrido al modelo de IA Gemini para ejecutar tareas muy específicas que potencian sus ataques. Entre esto, se encuentran:
- Localización de datos de billeteras cripto: los atacantes pedían al modelo que identificara rutas de archivos y configuraciones asociadas a aplicaciones de almacenamiento de activos digitales.
- Generación de scripts de acceso: Gemini se ha empleado para generar scripts que permiten acceder a almacenamiento cifrado o extraer private keys, automatizando la creación de códigos maliciosos.
- Redacción de correos de phishing: No menos preocupante es el uso de este modelo de IA para redactar correos de phishing altamente persuasivos, escritos en varios idiomas y dirigidos a empleados de exchanges y plataformas de criptomonedas, con el objetivo de obtener credenciales o infiltrarse en sistemas internos.
Este tipo de ataques representan un salto significativo en el campo de la ciberseguridad. La inteligencia artificial no solo facilita la escalabilidad de estas operaciones, sino que automatiza tareas complejas y reduce el margen de error humano. Además, al crear código dinámico y adaptativo, estos scripts se vuelven mucho más difíciles de detectar por los sistemas antivirus tradicionales, que suelen depender de patrones fijos para identificar las amenazas existentes.
El informe elaborado por Google también destaca que no se trata de un caso aislado. Otras familias de malware están adoptando enfoques similares con modelos avanzados de lenguaje. Por ejemplo, PROMPTFLUX utiliza Gemini para reescribir su propio código en VBScript cada hora, mientras que PROMPTSTEAL, vinculado al grupo ruso APT28, aprovecha el modelo Qwen2.5-Coder para generar comandos de Windows en tiempo real.
En suma, esta evolución en las técnicas de ataque basado en inteligencia artificial marca un nuevo desafío para la seguridad digital en el ámbito de las criptomonedas y más allá.
Crea tu cuenta y accede seguro al mundo criptoGoogle reacciona: bloqueo de cuentas y nuevas barreras de seguridad
Al detectar esta actividad maliciosa, Google actuó con rapidez. Según el GTIG, la compañía bloqueó las cuentas vinculadas a UNC1069 y reforzó los filtros de acceso a Gemini para evitar el uso indebido de esta herramienta. Además, la empresa implementó nuevos sistemas de monitoreo diseñados para detectar cualquier patrón sospechoso en las consultas realizadas a sus modelos de inteligencia artificial.
Entre las medidas adoptadas se encuentran limitaciones en la capacidad de sus APIs para generar código sensible o ejecutar órdenes que podrían representar un riesgo, así como filtros más rigurosos que dificultan la creación de scripts maliciosos por parte de los usuarios. También se incorporaron comprehensive audits para rastrear cómo se utilizan los modelos, lo que permite identificar comportamientos inusuales o abusivos con mayor precisión.
No obstante, Google señala que el problema va más allá de sus propias tecnologías. Muchas plataformas abiertas, como las que se encuentran en Hugging Face, ofrecen acceso sin restricciones a sistemas de inteligencia artificial que pueden ser explotados con fines maliciosos. Esto significa que, aunque las grandes compañías refuercen sus defensas, los actores con intenciones maliciosas aún cuentan con múltiples vías para aprovechar estas herramientas tecnológicas cada vez más avanzadas.
Protege tus activos: accede desde Bit2Me¿Qué significa esto para el futuro de la ciberseguridad?
El caso de UNC1069 representa un momento clave en la evolución de la ciberseguridad. Por primera vez se ha confirmado el uso de modelos de lenguaje avanzados en la etapa operativa de un ataque cibernético real, no como un simple experimento, sino como una táctica activa. Google ha detectado que al menos cinco familias de malware han comenzado a implementar esta tecnología, lo que subraya una tendencia que podría cambiar la dinámica del cibercrimen.
Ante este panorama, surgen interrogantes esenciales para empresas tecnológicas y reguladores: ¿cómo se puede impedir que la inteligencia artificial se utilice para fines ilegales? ¿Cuál es la responsabilidad de las compañías que desarrollan estos modelos? ¿Es viable mantener un acceso abierto a estas herramientas y, al mismo tiempo, garantizar la seguridad global?
El uso de IA en ataques también añade complejidad a la identificación y atribución de los responsables. Cuando el código malicioso se crea de forma dinámica mediante algoritmos, resulta más difícil rastrear su origen y distinguir entre un uso legítimo y uno dañino.
En el caso específico de UNC1069, el objetivo parece ser financiar actividades del régimen norcoreano mediante el robo de activos digitales, pero esta técnica podría ser adoptada por diversos actores, desde organizaciones criminales hasta estados con intenciones hostiles. La capacidad de generar código adaptado en tiempo real convierte a la inteligencia artificial en una herramienta eficiente, pero que también plantea riesgos significativos para la seguridad informática mundial.
Sin embargo, aunque el avance de la inteligencia artificial está introduciendo nuevos retos en ciberseguridad, al igual que otras tecnologías revolucionarias en la historia, como la energía nuclear, el dinero fiduciario o las criptomonedas, la IA no es inherentemente buena o mala. Su impacto depende del uso que le den distintos actores. Es decir, mientras que puede potenciar la innovación, la eficiencia y soluciones inéditas en áreas como la salud o la educación, también puede ser mal utilizada. Por ello, la clave radica en fomentar un marco ético y regulatorio que maximice sus beneficios y minimice sus riesgos, garantizando así un desarrollo responsable y seguro para todos.
Compra Bitcoin con seguridad desde Bit2Me
