{"id":546667,"date":"2026-05-12T07:25:13","date_gmt":"2026-05-12T07:25:13","guid":{"rendered":"https:\/\/www.europesays.com\/es\/546667\/"},"modified":"2026-05-12T07:25:13","modified_gmt":"2026-05-12T07:25:13","slug":"investigadores-de-google-descubren-una-vulnerabilidad-de-dia-cero-que-probablemente-fue-creada-con-ia","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/es\/546667\/","title":{"rendered":"Investigadores de Google descubren una vulnerabilidad de d\u00eda cero que probablemente fue creada con IA."},"content":{"rendered":"<p>\n          Los investigadores de inteligencia sobre amenazas de Google han vinculado una vulnerabilidad de d\u00eda cero con el desarrollo asistido por IA por parte de un grupo de ciberdelincuentes.\n        <\/p>\n<p>\n          La vulnerabilidad se dirigi\u00f3 a una popular herramienta de administraci\u00f3n de sistemas web de c\u00f3digo abierto. Permit\u00eda a los atacantes eludir la autenticaci\u00f3n de dos factores una vez que contaban con credenciales de usuario v\u00e1lidas. El fallo se origin\u00f3 en un error de l\u00f3gica sem\u00e1ntica: un desarrollador incluy\u00f3 en el c\u00f3digo una suposici\u00f3n de confianza que contradec\u00eda el protocolo de autenticaci\u00f3n de la aplicaci\u00f3n. El Grupo de Inteligencia de Amenazas de Google (GTIG) colabor\u00f3 con el proveedor afectado para revelar la vulnerabilidad antes de que se pudiera ejecutar la campa\u00f1a de explotaci\u00f3n masiva prevista.\n        <\/p>\n<p>\n          Los investigadores identificaron la conexi\u00f3n con la IA a trav\u00e9s de la estructura del exploit. El script conten\u00eda cadenas de documentaci\u00f3n educativas, una puntuaci\u00f3n CVSS ficticia y un formato Python limpio, al estilo de los libros de texto, caracter\u00edstico de la salida de grandes modelos de lenguaje. GTIG afirm\u00f3 que no cree que Gemini de Google estuviera involucrado.\n        <\/p>\n<p>\n          \u00abLos ciberdelincuentes utilizan vulnerabilidades de d\u00eda cero, frecuentemente en ataques masivos y r\u00e1pidos, como el que plane\u00f3 este atacante. Dado que los ciberdelincuentes deben modificar sus objetivos para extorsionarlos, utilizar vulnerabilidades de d\u00eda cero durante un per\u00edodo prolongado es m\u00e1s dif\u00edcil; por lo tanto, su mejor opci\u00f3n es el despliegue r\u00e1pido\u00bb, declar\u00f3\u00a0John Hultquist\u00a0, analista jefe del Grupo de Inteligencia de Amenazas de Google, a Help Net Security.\n        <\/p>\n<p>\n        El malware asistido por IA es cada vez m\u00e1s dif\u00edcil de detectar.\n    <\/p>\n<p>\n          M\u00e1s all\u00e1 del descubrimiento de vulnerabilidades, la IA est\u00e1 integrada en el desarrollo de malware de maneras que complican su detecci\u00f3n.\n        <\/p>\n<p>\n          Actores vinculados a Rusia han desplegado dos familias de malware, CANFAIL y LONGSTREAM, que utilizan c\u00f3digo se\u00f1uelo generado por IA para ocultar su funcionalidad maliciosa. CANFAIL contiene comentarios creados por LLM que describen expl\u00edcitamente bloques de c\u00f3digo como relleno no utilizado, lo que indica que el atacante solicit\u00f3 al modelo que generara grandes vol\u00famenes de c\u00f3digo inerte para su ofuscaci\u00f3n. LONGSTREAM contiene 32 instancias separadas de c\u00f3digo que consultan el estado del horario de verano del sistema, un patr\u00f3n repetitivo y funcionalmente irrelevante dise\u00f1ado para que el script parezca inofensivo para los analistas.\n        <\/p>\n<p>\n          Un grupo independiente vinculado a la Rep\u00fablica Popular China, APT27, utiliz\u00f3 Gemini de Google para acelerar el desarrollo de una aplicaci\u00f3n de gesti\u00f3n de red que daba soporte a una red operativa de repetidores. La herramienta se configur\u00f3 con un par\u00e1metro de enrutamiento de tres saltos e incluy\u00f3 los routers m\u00f3viles como tipos de dispositivos compatibles, lo que indica la intenci\u00f3n de enrutar el tr\u00e1fico a trav\u00e9s de direcciones IP residenciales.\n        <\/p>\n<p>\n        PROMPTSPY ampl\u00eda su capacidad de ataque aut\u00f3nomo.\n    <\/p>\n<p>\n          Una puerta trasera para Android llamada\u00a0PROMPTSPY\u00a0lleva la integraci\u00f3n de la IA un paso m\u00e1s all\u00e1. Este malware, identificado inicialmente por ESET, contiene un m\u00f3dulo de agente aut\u00f3nomo que env\u00eda el dise\u00f1o de la interfaz de usuario en tiempo real del dispositivo a la API Gemini de Google y recibe a cambio coordenadas precisas de toques y comandos gestuales. El malware puede simular clics, deslizamientos y otras interacciones f\u00edsicas sin intervenci\u00f3n humana.\n        <\/p>\n<p>\n          PROMPTSPY tambi\u00e9n puede capturar datos de autenticaci\u00f3n biom\u00e9trica, como PIN y patrones de bloqueo, y reproducirlos para recuperar el acceso a un dispositivo bloqueado. Si un usuario intenta desinstalarlo, el malware superpone una capa invisible sobre el bot\u00f3n de desinstalaci\u00f3n, interceptando silenciosamente las pulsaciones. Su infraestructura de comando y control, incluidas las claves API, se puede actualizar de forma remota sin necesidad de reinstalar el malware. Google afirm\u00f3 que actualmente no hay aplicaciones que contengan PROMPTSPY en\u00a0Google Play\u00a0, y que los dispositivos Android con Google Play Services est\u00e1n protegidos por Google Play Protect.\n        <\/p>\n<p>\n          Hultquist se\u00f1al\u00f3 que existe malware similar, y la cuesti\u00f3n es si alguna variante lograr\u00e1 una escala significativa. \u201cHay malware parecido circulando, pero en su mayor\u00eda es experimental. Buscamos que los ciberdelincuentes encuentren algo que funcione a gran escala. Entonces, probablemente lo aprovechar\u00e1n. A medida que\u00a0los sistemas de IA\u00a0se vuelvan m\u00e1s omnipresentes, se convertir\u00e1n en un objetivo y una herramienta para que los actores dentro de la red consigan lo que quieren\u201d.\n        <\/p>\n<p>\n        Los ataques a la cadena de suministro alcanzan la infraestructura de IA.\n    <\/p>\n<p>\n          En marzo de 2026, un grupo de ciberdelincuentes llamado\u00a0TeamPCP\u00a0, tambi\u00e9n identificado como UNC6780, comprometi\u00f3 varios repositorios de GitHub, incluidos los vinculados a la biblioteca de puerta de enlace de IA\u00a0LiteLLM\u00a0y al esc\u00e1ner de vulnerabilidades Trivy. Los atacantes instalaron un programa de robo de credenciales llamado SANDCLOCK en los entornos de compilaci\u00f3n afectados, extrayendo secretos en la nube, como claves de AWS y tokens de GitHub. Posteriormente, estas credenciales se utilizaron en colaboraci\u00f3n con grupos de ransomware.\n        <\/p>\n<p>\n          La vulnerabilidad de LiteLLM es notable porque esta biblioteca se usa ampliamente para conectar aplicaciones de software con m\u00faltiples proveedores de IA. La exposici\u00f3n de las claves de la API de este paquete podr\u00eda dar a los atacantes acceso al entorno de IA de una organizaci\u00f3n, lo que permitir\u00eda realizar labores de reconocimiento y recopilar datos a gran escala desde dentro de las redes corporativas.\n        <\/p>\n<p>\n          Por otra parte, actores cibercriminales est\u00e1n eludiendo sistem\u00e1ticamente los controles de facturaci\u00f3n de las plataformas de IA. Grupos vinculados a la Rep\u00fablica Popular China han utilizado scripts automatizados para registrar y cancelar cuentas premium de LLM, alternando el acceso a la versi\u00f3n gratuita de forma masiva. Un grupo implement\u00f3 un servicio de retransmisi\u00f3n que agregaba cuentas de Gemini, Claude y OpenAI para centralizar el acceso y distribuir los costos entre las credenciales comprometidas.\n        <\/p>\n<blockquote class=\"w-auto\"><p>Fuente y redacci\u00f3n: helpnetsecurity.com<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"Los investigadores de inteligencia sobre amenazas de Google han vinculado una vulnerabilidad de d\u00eda cero con el desarrollo&hellip;\n","protected":false},"author":2,"featured_media":546668,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[81],"tags":[119,123,124,25,24,117,121,122,23,118,120],"class_list":{"0":"post-546667","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-ciencia-y-tecnologia","8":"tag-ciencia","9":"tag-ciencia-y-tecnologia","10":"tag-cienciaytecnologia","11":"tag-es","12":"tag-espana","13":"tag-science","14":"tag-science-and-technology","15":"tag-scienceandtechnology","16":"tag-spain","17":"tag-technology","18":"tag-tecnologia"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@es\/116560417859258987","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/posts\/546667","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/comments?post=546667"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/posts\/546667\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/media\/546668"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/media?parent=546667"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/categories?post=546667"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/es\/wp-json\/wp\/v2\/tags?post=546667"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}