La alerta de Google no es una hipérbole ni un titular calculado: sus investigadores describen un salto cualitativo en el uso ofensivo de la IA. Ya no hablamos de modelos que ayudan a pulir textos de phishing o a corregir fallos de sintaxis; el Grupo de Inteligencia de Amenazas de la compañía asegura haber observado malware que se reescribe en caliente, consulta a modelos como Gemini durante la intrusión y muta su propio código para esquivar firmas y reglas de detección.
Es, en la práctica, un “cerebro” externo que orquesta a los “bichos” dentro de la red víctima y les dicta cómo camuflarse según vayan chocando con las defensas. Ese giro convierte en frágil una de las inercias de la ciberdefensa: analizar muestras, generar contramedidas y distribuirlas antes del próximo ataque. Si la carga maliciosa cambia de forma en tiempo real, las firmas pierden vigencia con la misma rapidez con la que el modelo ajusta el ataque.
El símil biológico —virus capaces de mutar frente al sistema inmune— deja de ser una metáfora y se vuelve operativo: el antivirus ya no se enfrenta a familias estáticas, sino a comportamientos generativos que recombinan trucos de ofuscación, rutas de persistencia y módulos bajo demanda.
De firmas a comportamientos
Google añade un matiz incómodo: estos sistemas no deberían colaborar con el delito, pero pueden ser engañados. Los actores, explica el informe, recurren a la vieja ingeniería social con una capa de pintura: se hacen pasar por estudiantes resolviendo retos “capture the flag” o por investigadores de seguridad y empujan a los modelos a revelar pasos, comandos o fragmentos que de otro modo bloquearían. Es la misma lógica de siempre —convencer a alguien de que te abra la puerta— aplicada a una IA que, en determinados contextos, acepta la coartada y responde.
El paisaje criminal tampoco espera. Según Google, este año se ha consolidado un mercado negro de IA con productos listos para usar: asistentes para phishing, generadores de malware, buscadores de vulnerabilidades “as-a-service”. El caso de Xanthorox —una IA sin restricciones que se ofrecía por 200 dólares y prometía generar ransomware furtivo— ilustra esa democratización: baja la barrera de entrada para bandas poco sofisticadas y amplifica el número de ataques potenciales. Aquí el detalle relevante es sociotécnico: no hace falta un exploit inédito si vendes paquetes usables a quien ayer apenas sabía compilar.
Defensa en capas y control de modelos
Para los defensores, la respuesta pasa por varias capas. Primero, detectar comportamientos, no sólo firmas: modelado de amenazas, telemetría rica, reglas que identifiquen llamadas salientes sospechosas a endpoints de IA o patrones de reconfiguración del propio binario. Segundo, controles en los modelos: filtros contextuales más robustos, auditorías de prompts y revocación rápida de cuentas que abusen. Y tercero, higiene básica que sigue salvando incidentes —segmentación de red, MFA real, parches a tiempo, listas de bloqueo de salida— porque el “malware que habla con su modelo” necesita un canal para hacerlo. Detectar comportamientos, no sólo firmas.
