La inteligencia artificial generativa se ha consolidado como palanca de innovación para empresas y desarrolladores, pero también como nuevo recurso estratégico para grupos de amenazas avanzadas. Un informe reciente de Google Threat Intelligence Group (GTIG) detalla cómo actores vinculados a Corea del Norte y otros clústeres criminales están abusando de Google Gemini y de servicios similares para mejorar la fase de reconocimiento, perfeccionar campañas de phishing y generar código malicioso de forma dinámica.
UNC2970, Lazarus Group y la evolución de la operación «Dream Job»
El grupo UNC2970, solapado con clústeres conocidos como Lazarus Group, Diamond Sleet y Hidden Cobra, lleva años centrando sus ataques en los sectores aeroespacial, defensa, energía y ciberseguridad. Una de sus campañas más conocidas es Operation Dream Job, en la que los atacantes se hacen pasar por reclutadores corporativos para ofrecer «ofertas laborales» muy atractivas a profesionales altamente cualificados.
Según GTIG, esta operación sigue activa y orientada a compañías de defensa y ciberseguridad, pero ahora incorpora de forma sistemática inteligencia artificial generativa para hacer mucho más creíbles las identidades falsas de RR. HH. y aumentar la tasa de éxito de la ingeniería social.
OSINT y perfilado de objetivos con IA generativa
Los investigadores de Google han observado que UNC2970 utiliza Google Gemini para tareas avanzadas de OSINT (Open Source Intelligence) y perfilado de potenciales víctimas. Entre los usos detectados se incluyen:
— búsqueda estructurada de información sobre empresas de defensa y ciberseguridad de alto valor;
— mapeo de roles técnicos concretos, competencias clave y responsabilidades internas;
— análisis de rangos salariales y expectativas de mercado para determinados perfiles, con el fin de ajustar la narrativa del «reclutador» y hacerla más verosímil.
Este tipo de uso de la IA desdibuja la línea entre la analítica de mercado legítima y la reconocida maliciosa. Cuanto mejor entienden los atacantes la estructura organizativa y las motivaciones profesionales de sus objetivos, más convincentes resultan sus mensajes de phishing y mayor es la probabilidad de obtener el compromiso inicial de credenciales o dispositivos.
HONESTCUE y COINBAIT: IA al servicio del malware y del phishing
HONESTCUE: cargador fileless que genera código malicioso con la API de Gemini
GTIG ha identificado la herramienta maliciosa HONESTCUE, un framework cargador que se comunica con la API de Google Gemini para solicitar, en tiempo real, código fuente en C# correspondiente a la siguiente fase del ataque.
En lugar de integrar su propia lógica de actualización, HONESTCUE subcontrata la generación de la funcionalidad de segunda etapa a la propia IA. El código C# devuelto por Gemini se compila y ejecuta directamente en memoria mediante el componente legítimo .NET CSharpCodeProvider. Este enfoque fileless reduce al mínimo los rastros en disco y complica el trabajo de las soluciones antivirus tradicionales basadas en firmas.
COINBAIT: kits de phishing de criptomonedas generados con IA
Otro ejemplo destacado de abuso de la IA es COINBAIT, un kit de phishing desarrollado usando el servicio Lovable AI. Este conjunto de plantillas se disfraza de plataforma de intercambio de criptomonedas y está diseñado para recolectar credenciales de usuarios y datos financieros.
Google vincula ciertos elementos de la actividad de COINBAIT con el clúster de motivación financiera UNC5356. La aparición de kits de phishing «ensamblados con IA» reduce drásticamente la barrera de entrada para atacantes con pocas capacidades técnicas y facilita la rápida escalada de campañas masivas.
Campañas ClickFix: explotación del uso compartido público en servicios de IA
GTIG también alerta sobre las campañas ClickFix, en las que los atacantes aprovechan la función de compartir públicamente prompts y flujos de trabajo en plataformas de IA generativa. A las víctimas se les presenta una guía aparentemente legítima para solucionar un «problema común» de su equipo, pero el contenido incluye la descarga de un infostealer, un tipo de malware especializado en robar información sensible. Este patrón de ataque fue documentado por la empresa Huntress en diciembre de 2025.
Ataques de model extraction contra Gemini y riesgos para las APIs de IA
Además del uso directo de Gemini en campañas ofensivas, Google ha observado ataques a gran escala de model extraction. El objetivo es recrear una copia funcional de un modelo cerrado mediante el envío sistemático de miles de consultas a la API y el entrenamiento de un modelo sustituto que imite su comportamiento.
En uno de los casos analizados, se enviaron más de 100 000 prompts a Gemini en múltiples idiomas no ingleses para reproducir su capacidad de razonamiento en un amplio espectro de tareas. De forma similar, una prueba de concepto de la empresa Praetorian demostró que un modelo sustituto puede alcanzar alrededor del 80,1 % de precisión tras unas 1000 peticiones a la API y 20 épocas de entrenamiento.
Como advierte la investigadora Farida Shafik, confiar únicamente en ocultar los pesos de un modelo es insuficiente: el comportamiento observable de la IA se convierte en datos de entrenamiento para su propia copia. Cualquier API de IA expuesta públicamente es, por definición, un potencial objetivo de extracción, con implicaciones tanto de seguridad como de propiedad intelectual.
Respuesta de Google y recomendaciones clave para las organizaciones
GTIG señala que actores maliciosos intentan de forma recurrente evadir las salvaguardas de las plataformas de IA, presentándose en sus prompts como investigadores de seguridad o participantes de competiciones CTF para justificar solicitudes potencialmente dañinas. Como respuesta, Google asegura estar reforzando continuamente la seguridad de Gemini mediante clasificadores de detección, nuevos filtros de contenido y reglas específicas para detectar estas «juegos de rol» y responder de forma segura.
Estas medidas se enmarcan en la AI Cyber Defense Initiative, lanzada en 2024, con la que Google busca utilizar la IA para mitigar la conocida dilema del defensor: el atacante solo necesita encontrar un punto débil, mientras que el defensor debe proteger toda la superficie de ataque. A medida que la calidad, escala y velocidad de los ciberataques potenciados por IA crecen, las organizaciones necesitan adoptar de forma proactiva herramientas defensivas igualmente basadas en IA para detección, análisis y respuesta en tiempo casi real.
Para reducir su exposición, las organizaciones deberían revisar sus modelos de amenaza incorporando el abuso de IA generativa: monitorizar el uso interno de servicios de IA y el tráfico hacia APIs externas, segmentar y rotar regularmente claves de API, reforzar la formación en ingeniería social asistida por IA, y someter sus controles de seguridad a pruebas que simulen adversarios que ya utilizan inteligencia artificial. Invertir temprano en capacidades defensivas basadas en IA marcará la diferencia entre que la inteligencia artificial se convierta en una ventaja para los defensores o en un multiplicador de poder en manos de los ciberdelincuentes.
