Google alerta sobre uso malicioso de su IA por Irán, China, Rusia y Corea del Norte

Ciudad de México, 08-02-2025 |

Grupos de ciberespionaje emplean Gemini para ataques de phishing y recopilación de información

Googleidentificó que actores gubernamentales de Irán, China, Rusiay Corea del Norte utilizaron su inteligencia artificial, Gemini, para realizar ataques de phishing, investigaciones de objetivos de vigilancia y desarrollo de scripts de software. Según un informe del Threat Intelligence Group (TIG) de Google, estos grupos emplearon la IA para traducir y adaptar señuelos de phishing, investigar vulnerabilidades y generar contenido para operaciones cibernéticas.

El estudio indica que Iránes el país con mayor actividad maliciosa vinculada a Gemini, representando el 75% del uso detectado. Sin embargo, Google señaló que, aunque la inteligencia artificial fue útil para estos actores, aún no ha supuesto un cambio significativo en las estrategias de ciberataques. "Si bien la IA puede ser una herramienta útil para los actores de amenazas, aún no cambiaron las reglas del juego como a veces se dice", afirmó la compañía.

Google identificó más de 10 grupos cibernéticos iraníes que usaron Gemini, destacando la unidad APT42, la cual recurrió a la IA principalmente para la creación de contenido de phishing. Según el informe, "el 30% de toda la actividad de APT iraní en la plataforma" estuvo relacionada con este tipo de ataques. Además, estos grupos utilizaron la IA para reconocimiento de objetivos, exploración de vulnerabilidades e identificación de proveedores de alojamiento gratuito.

Por su parte, al menos 20 grupos vinculados a China emplearon Gemini para la generación de contenido y la investigación de información, enfocándose en instituciones gubernamentales de Estados Unidos. También se detectó su uso para solicitar asistencia en sistemas de Microsoft y en la traducción de documentos técnicos.

En el caso de Corea del Norte, Google identificó el uso de Gemini en la redacción de solicitudes de empleo, como parte de una estrategia para infiltrar trabajadores de TI norcoreanos en empresas occidentales. Además, nueve grupos intentaron obtener información sobre tecnología militar y nuclear de Corea del Sur.

Mientras tanto, el uso que le dio Rusia fue menos frecuente. Google detectó actividad en tres grupos cibernéticos, aunque sugiere que esto podría deberse a que emplean modelos de IA propios o buscan evitar ser rastreados.

Desde Google aseguraron que sus sistemas lograron bloquear intentos de generar código malicioso o revelar información confidencial. No obstante, se detectó un aumento en el uso de técnicas de jailbreak, donde los actores maliciosos intentan eludir los filtros de seguridad modificando las instrucciones dadas a la IA. Hasta el momento, estas estrategias han sido ineficaces.

Entre los intentos detectados, el informe menciona casos donde se solicitó a Gemini incrustar texto codificado en un ejecutable y generar código Python para un ataque de denegación de servicio. Aunque la IA procesó una solicitud de conversión de Base64 a hexadecimal, rechazó otras consultas directamente maliciosas.

Además, Google reportó intentos de usar Gemini para investigar vulnerabilidades en otros servicios de la compañía. Para contrarrestar estas amenazas, ha fortalecido sus sistemas de seguridad e implementado mejoras adicionales.

Por último, el informe destaca el papel de Google DeepMind en la protección de la inteligencia artificial. "Google DeepMind desarrolla modelos de amenazas para la IA generativa con el fin de identificar vulnerabilidades potenciales y crea nuevas técnicas de evaluación y entrenamientopara abordar el mal uso causado por ellas", concluye el documento.