La IA está siendo el mejor amigo de los hackers: los virus la usan para reescribir su propio código

Cuando se produce un avance o un descubrimiento, la motivación tras él suele ser positiva. Encontrar aquello que pueda tener una utilidad y plantear un beneficio para las personas, que sirva a la sociedad en su conjunto. Lamentablemente, hay quienes optan por desvirtuar cuanto cae en sus manos y se valen de ello para enfocarlo en lo opuesto para lo que fue pensado.

Con la inteligencia artificial está ocurriendo algo similar, y ya hay quienes trabajan con ella para crear los virus del futuro, aquellos que usan inteligencia artificial para elaborar su propio código y dotarlo de mecanismos que impidan que sea detectado. Un peligro latente y que ya ha dejado ver sus primeros ejemplos en forma de ransomware con PromptLock.

Ahora ha sido el grupo de trabajo de Google especializado en detectar amenazas quien ha tenido constancia de la existencia de un malware creado por actores maliciosos que se sirve de la capacidad de los grandes modelos de lenguaje (LLM) para reescribir su código sobre la marcha con el fin de no ser detectado.

La IA al servicio de la creación de malware

Con Corea del Norte liderando este tipo de prácticas de creación de software malicioso valiéndose de inteligencia artificial, el Grupo de Inteligencia de Amenazas de Google (GTIG) ha reflejado en una publicación en su blog corporativo una cuestión que ha detectado tras un análisis reciente del panorama general de amenazas. Y es que los hackers están implementando herramientas en las que se usa la inteligencia artificial de manera abusiva y con las que logran instrumentos que alteran de manera dinámica el comportamiento del malware durante su ejecución.

La familia de malware detectada por el grupo especializado de Google responde al nombre de Promptflux y su principal característica se encuentra en esa posibilidad de reescritura para evitar ser registrada y anulada.

Se trata de un malware tipo troyano que interactúa precisamente con la API del modelo Gemini, la inteligencia artificial de Google, para aprender a modificarse a sí mismo, tal como explica el grupo de expertos en su entrada: “Generan dinámicamente scripts maliciosos, ofuscan su propio código para evadir la detección y aprovechan modelos de IA para crear funciones maliciosas bajo demanda, en lugar de codificarlas directamente en el malware”, indican los expertos.

Anticipar la existencia de software malicioso para anular su peligro

El simple hecho de que exista la posibilidad de emplear la inteligencia artificial en cuestiones de delitos cibernéticos y acciones maliciosas sobre equipos ajenos hace que grupos como el GTIG del gigante tecnológico Google tengan una razón de ser. Por fortuna, su labor permite detectar este tipo de amenazas en etapas tempranas y sin que hayan afectado a equipos en entornos reales, como apuntan los investigadores en este caso:

“Un examen más detallado de las muestras de PROMPTFLUX sugiere que esta familia de código se encuentra actualmente en una fase de desarrollo o prueba, ya que algunas características incompletas están comentadas y existe un mecanismo para limitar las llamadas a la API Gemini del malware”

De igual modo, la detección de este tipo de iniciativas, que Google sospecha que pueden tener vínculos con actores con motivaciones económicas tras ellas, ha permitido a la compañía de Mountain View tomar las medidas necesarias para su anulación: “Hemos tomado medidas para deshabilitar los recursos asociados a esta actividad”, apuntan en su publicación.

Pese a ello, esa presencia de intereses por parte de países como Corea del Norte, Irán y la República Popular China que apunta el Grupo de Inteligencia de Amenazas de Google implica la necesidad de mantener la línea de trabajo y la atención sobre un ámbito que va a suponer todo un desafío en materia de ciberseguridad durante los próximos años.