Ciencía y tecnología / Tecnología

Google advierte que la IA ya hackea el doble factor de autenticación

EXPANSIÓN. Investigadores del grupo de Inteligencia de Amenazas de Google afirmaron encontrar indicios de que ciberdelincuentes utilizaron herramientas de inteligencia artificial para descubrir y explotar una vulnerabilidad en sus defensas, algo que abre el debate por el potencial malicioso de este tipo de tecnología.

De acuerdo con el reporte que la empresa publicó este lunes, existen indicios para afirmar que la IA pudo explotar una vulnerabilidad de día cero, es decir, fallos desconocidos para el desarrollador, una condición que deja a los defensores sin tiempos para corregirlos antes de que puedan ser aprovechados.

Google dijo tener un alto nivel de confianza en que se usó IA para ayudar a descubrir y convertir la vulnerabilidad en un arma, pero se negó a revelar más información, como el software afectado, el modelo de lenguaje que se utilizó o el nombre del grupo de ciberdelincuentes.

La empresa también destacó que sus investigadores no creen que la vulnerabilidad se haya descubierto, gracias a la tecnología de Anthropic, Mythos, o ni siquiera con algún modelo de Gemini, desarrollado por la propia Google.

A inicios de abril, Anthropic dio a conocer Mythos, un modelo con habilidades avanzadas para identificar vulnerabilidades en términos de ciberseguridad. Dentro de sus capacidades destaca la identificación de brechas desconocidas y generar formas de explotarlas, lo que abre la posibilidad de que actores maliciosos lo utilicen para desarrollar ciberataques, acceder a sistemas sensibles o comprometer infraestructura crítica.

De acuerdo con el reporte técnico de Anthropic, el modelo logró identificar fallas desconocidas en distintos sistemas durante pruebas internas. Entre los hallazgos aparecen vulnerabilidades en software ampliamente utilizado, incluidos navegadores y componentes del sistema operativo.

El modelo no se creó como una herramienta exclusiva de ciberseguridad, Anthropic lo entrenó para tareas generales como programación, análisis de código y resolución de problemas complejos. Sin embargo, estas capacidades le permiten revisar grandes volúmenes de código, encontrar errores y proponer formas de explotarlos. En entornos controlados, Mythos incluso construyó pruebas de ataque funcionales a partir de fallas detectadas.

Aunque informó sobre su nuevo software, Anthropic no liberó el modelo porque suponía un riesgo para la seguridad nacional e incluso desde entonces, la Casa Blanca tomó medidas para abordar el posible uso malintencionado de esas herramientas.

De hecho, tras la publicación del informe, el Departamento del Tesoro y la Reserva Federal de Estados Unidos (Fed) convocaron a los principales líderes de Wall Street a una reunión urgente debido a la preocupación de que el modelo represente una nueva era de mayor riesgo cibernético global.

Por su parte, Google señaló que tras sus hallazgos, esta clase de amenazas donde la IA juega un papel fundamental ya son una realidad y en este caso específico, la tecnología colaboró para eludir la autenticación de dos pasos, la cual busca proteger las contraseñas de los usuarios.

A pesar de ello, el gigante tecnológico informó al desarrollador de la herramienta que fue blanco del ataque y solucionó el problema antes de que los ciberdelincuentes pudieran utilizarla en contra de los usuarios.