Google alerta que grupos estatales usan Gemini para acelerar operaciones de ciberataque

Un reporte del Google Threat Intelligence Group advirtió que hackers asociados a distintos gobiernos están utilizando el modelo de inteligencia artificial Gemini para optimizar diversas etapas de ataques informáticos.

La investigación sostiene que el uso de la herramienta no se restringe a campañas simples de phishing. También se identificaron consultas vinculadas con tareas de reconocimiento previo, elaboración de mensajes de ingeniería social, traducciones, ayuda para escribir y depurar código, pruebas de vulnerabilidades y apoyo técnico tras concretar una intrusión.

De acuerdo con el análisis, las actividades observadas involucran células relacionadas con China, Irán, Corea del Norte y Rusia. Entre los "prompts" examinados figuraban solicitudes para perfilar objetivos, redactar textos persuasivos destinados a engaños, corregir fallas en herramientas ofensivas y ajustar código cuando surgían errores durante operaciones activas.

Los especialistas de Google subrayan que la inteligencia artificial no introduce métodos completamente nuevos, sino que acelera procedimientos que ya formaban parte del repertorio habitual de los atacantes. El reconocimiento de blancos, la construcción de señuelos creíbles o la optimización de software malicioso son prácticas conocidas; la diferencia radica en la velocidad con que ahora pueden ejecutarse.

Con modelos como Gemini, los ciberdelincuentes obtienen reescrituras inmediatas, soporte en múltiples idiomas o asistencia técnica en segundos, lo que acorta los ciclos de prueba y error y reduce fricciones operativas.

El informe menciona, por ejemplo, un caso atribuido a actores vinculados a China en el que un usuario simuló ser un especialista en ciberseguridad dentro de un escenario ficticio para pedir automatización en el análisis de vulnerabilidades y diseño de planes de testeo. En otro episodio, un operador recurrió reiteradamente al modelo para depurar herramientas y recibir orientación técnica relacionada con intrusiones.

El factor crítico: el tiempo

Para Google, el principal riesgo es la aceleración. Si los grupos pueden interactuar más rápido con sus objetivos y perfeccionar sus herramientas con mayor agilidad, los equipos defensivos disponen de menos margen entre las primeras señales de actividad y el impacto final.

La reducción de tiempos también implica menos rastros visibles en los registros, menos errores manuales y menos iteraciones que puedan delatar comportamientos sospechosos. Incluso una automatización parcial de tareas rutinarias puede modificar la dinámica entre atacantes y defensores.

El reporte también advierte sobre otra modalidad: la extracción y destilación de modelos. En estos casos, actores con acceso legítimo a APIs realizan grandes volúmenes de consultas para replicar el funcionamiento del sistema y entrenar modelos alternativos. Google identificó un episodio con cerca de 100.000 prompts orientados a reproducir comportamientos en idiomas distintos del inglés, lo que podría derivar en riesgos comerciales y de propiedad intelectual si la práctica escala.

La compañía informó que desactivó cuentas e infraestructura vinculadas a los abusos detectados e incorporó nuevas barreras de protección en Gemini. Además, señaló que continúa reforzando sus mecanismos de seguridad.

Para los equipos de ciberseguridad, la conclusión es clara: los ataques asistidos por IA pueden no ser más sofisticados en esencia, pero sí más veloces. Por eso recomiendan vigilar mejoras súbitas en la calidad de los señuelos, ciclos de desarrollo más cortos en herramientas maliciosas y patrones atípicos en el uso de APIs.