El Google Threat Intelligence Group (GTIG), la división de inteligencia de amenazas de Google, ha presentado su más reciente informe AI Threat Tracker, en el que analiza cómo diferentes actores están atacando y explotando plataformas de inteligencia artificial generativa. El informe revela que la IA ha dejado de ser solo una herramienta para acelerar ataques: ahora es también un objetivo en sí misma, con intentos de replicar sus capacidades. Al mismo tiempo, el sector de defensa se ha convertido en un blanco más amplio, con campañas que buscan desde el robo de información hasta la suplantación de personal militar mediante accesos indirectos. GTIG destaca el crecimiento de los intentos de extracción de modelos, una técnica que busca replicar el comportamiento de modelos propietarios —incluyendo su razonamiento— a partir de la observación de sus respuestas. Estos intentos no solo provienen de ciberdelincuentes, sino también de empresas privadas y entornos académicos interesados en clonar la lógica de modelos avanzados como Gemini, conocido por su capacidad de razonamiento. En cuanto a actores estatales, el informe señala que la IA se emplea en todas las fases del ciclo de ataque, especialmente para crear campañas de ingeniería social más sofisticadas. Ejemplos citados incluyen a APT42 (relacionado con Irán), que utiliza IA para identificar correos oficiales y recopilar información sobre posibles objetivos, y UNC2970 (vinculado a Corea del Norte), que emplea Gemini para sintetizar inteligencia de fuentes abiertas (OSINT) y perfilar objetivos de alto valor, suplantando reclutadores en campañas dirigidas al sector defensa. El informe también documenta la integración de IA en nuevas variantes de malware. A finales de 2025, GTIG detectó actores experimentando con IA para añadir funcionalidades inéditas a familias de malware. Un caso es HONESTCUE, que utiliza la API de Gemini para subcontratar la generación de funciones, dificultando la detección mediante análisis de red o estático. En el ámbito del fraude, GTIG identificó el kit de phishing COINBAIT, cuyo desarrollo se aceleró gracias a herramientas de generación de código basadas en IA. Este kit simula ser un importante exchange de criptomonedas para robar credenciales, y su despliegue se ha vuelto más ágil gracias a la automatización de plantillas y flujos. El informe también señala la existencia de un mercado clandestino donde se ofrecen supuestos servicios de IA para actividades maliciosas. Aunque existe una demanda constante en foros en inglés y ruso, muchos actores dependen de modelos existentes y buscan claves API robadas. Un ejemplo es 'Xanthorox', promocionado como IA personalizada para generar malware y phishing, pero que en realidad funcionaba como un "envoltorio" de productos comerciales y de terceros. El segundo informe de Google, Beyond the Battlefield, se enfoca en el sector militar. GTIG advierte sobre ataques a empresas que desarrollan tecnología de vanguardia, especialmente UAS/drones utilizados en el conflicto entre Rusia y Ucrania. Actores vinculados a Rusia no solo atacan compañías, sino que también suplantan productos de defensa para comprometer a personal militar, aprovechando procesos de contratación, correos personales y trabajo remoto para evadir controles corporativos. En Europa, GTIG resalta campañas atribuidas a UNC5976, que desde enero de 2025 han realizado phishing suplantando a contratistas de defensa y proveedores de telecomunicaciones, utilizando infraestructura que imita empresas de Reino Unido, Alemania, Francia, Suecia y Noruega. Finalmente, el informe menciona el auge del hacktivismo prorruso, que a finales de 2025 centró parte de su actividad en los drones y su impacto en el campo de batalla. Fuente: larazon.es