Google advierte que Corea del Norte, Irán y China están utilizando la IA para mejorar los ciberataques.

Un nuevo informe del Grupo de Análisis de Amenazas de Google (GTAG) ha demostrado que piratas informáticos patrocinados por estados de Corea del Norte, Irán y China están experimentando y optimizando activamente los ciberataques con herramientas de inteligencia artificial (IA), que en este caso fue Gemini de Google. 

Google afirmó haber observado que varios grupos vinculados a estados utilizaban sus grandes modelos de lenguaje para reconocimiento, ingeniería social, desarrollo de malware y para mejorar “todas las etapas de sus operaciones, desde el reconocimiento y la creación de señuelos de phishing hasta el desarrollo de comandos y control (C2) y la exfiltración de datos”.

El informe halló pruebas de ataques novedosos y sofisticados basados en inteligencia artificial. Advirtió que la IA generativa está reduciendo las barreras técnicas para las operaciones maliciosas, al ayudar a los atacantes a trabajar con mayor rapidez y precisión.

El informe se basa en advertencias similares de Microsoft y OpenAI , que revelaron experimentación comparable por parte del mismo trío de actores respaldados por naciones.

Además, Anthropic, la empresa detrás de Claude AI, publicó un informe sobre cómo ha estado detectando y contrarrestando el uso de la IA para ataques, y los grupos vinculados a Corea del Norte fueron los principales actores maliciosos que figuraron en el informe.

Los actores estatales norcoreanos recurren a la IA

En su última actualización de inteligencia sobre amenazas, Google detalló cómo un grupo iraní conocido como TEMP.Zagros, también conocido como MuddyWater, utilizó Gemini para generar y depurar código malicioso disfrazado de investigación académica, con el objetivo final de desarrollar malware personalizado.

Al hacerlo, expuso inadvertidamente detalles operativos clave que permitieron a Google interrumpir partes de su infraestructura.

Se descubrió que actores vinculados a China utilizaban Gemini para mejorar sus señuelos de phishing, realizar reconocimiento en redes objetivo e investigar técnicas de movimiento lateral una vez dentro de sistemas comprometidos. En algunos casos, hicieron un mal uso de Gemini para explorar entornos desconocidos, como infraestructura en la nube, Kubernetes y vSphere, lo que indica un esfuerzo por ampliar su alcance técnico.

a operadores norcoreanos explorando herramientas de IA para mejorar sus campañas de reconocimiento y phishing. Un grupo de ciberdelincuentes norcoreano, conocido por su participación en campañas de robo de criptomonedas mediante ingeniería social, también intentó usar Gemini para escribir código que le permitiera robar criptomonedas.

Google logró mitigar estos ataques y cerrar las cuentas implicadas en ellos.

Una nueva frontera para la ciberdefensa

El informe de Anthropic, publicado en agosto de 2025, aporta pruebas que corroboran el mal uso de la IA por parte de agentes vinculados a estados. La empresa descubrió que agentes norcoreanos habían utilizado su modelo Claude para hacerse pasar por desarrolladores de software que trabajaban de forma remota y buscaban empleo.

Según los informes, utilizaron a Claude para generar currículos, muestras de código y respuestas a entrevistas técnicas para conseguirtracde trabajo freelance en el extranjero.

Si bien los hallazgos de Anthropic sacaron a la luz la práctica fraudulenta de utilizar la IA para conseguir empleo, lo que habría dado lugar a una operación de pirateo informático mayor en las organizaciones contratantes, también coincide con la conclusión de Google de que las herramientas de IA están siendo probadasmaticpor actores malintencionados para obtener una ventaja adicional.

Estos hallazgos representan un nuevo quebradero de cabeza para la comunidad global de ciberseguridad. Las mismas características que convierten a los modelos y aplicaciones de IA en potentes herramientas de productividad también se están utilizando para crear potentes instrumentos de daño, como demuestran los informes. A medida que se produzcan más avances, los atacantes se adaptarán y sus ataques se volverán más sofisticados.

Los gobiernos y las empresas tecnológicas están empezando a responder, y la colaboración continua entre todas las partes interesadas para mitigar estas acciones será el camino a seguir.

¿Quieres que tu proyecto esté presente en las mentes más brillantes del mundo de las criptomonedas? Preséntalo en nuestro próximo informe del sector, donde los datos se combinan con el impacto.