El uso ofensivo de la inteligencia artificial está entrando en otra fase. Un informe del Grupo de Inteligencia de Amenazas de Google (GTIG) describe el surgimiento de malware capaz de modificar su propio código en tiempo real, apoyado en modelos de lenguaje como Gemini. La IA deja de ser una herramienta auxiliar y pasa a integrarse en la arquitectura del ataque.
En los primeros usos criminales, la IA servía para automatizar tareas: redactar phishing más creíble o pulir errores en el código. Ahora, el análisis de Google apunta a que algunos grupos están probando sistemas que generan o reescriben fragmentos del malware mientras se está ejecutando. Aunque muchas muestras siguen en fase experimental, la intención es clara: esquivar la detección basada en firmas, que depende de identificar patrones estáticos.
Malware que se adapta mientras actúa
Entre los ejemplos analizados aparece PROMPTFLUX, que consulta un modelo de lenguaje externo para ajustar su comportamiento en cada ejecución. También se cita PROMPTLOCK, un ransomware que genera partes de su lógica sobre la marcha y se ha observado en distintos entornos. Se documentan además herramientas orientadas al robo de credenciales o a obtener información de desarrolladores, apuntando a repositorios y configuraciones en servicios como GitHub o NPM.
Google señala que muchas de estas herramientas no están aún ampliamente desplegadas, pero su concepto anticipa un cambio de escenario: si el malware muta constantemente, el análisis estático pierde peso. La defensa tendría que moverse hacia la detección por comportamiento y patrones dinámicos.
Ingeniería social… contra la propia IA
El informe también observa que los atacantes están intentando engañar directamente a los modelos para obtener código o instrucciones que normalmente serían restringidas. Recurrieron a estrategias similares a las de la ingeniería social clásica: hacerse pasar por estudiantes o investigadores pidiendo ayuda para ejercicios de seguridad. Google afirma haber suspendido cuentas vinculadas y dice estar reforzando medidas para bloquear estas solicitudes, además de compartir hallazgos con la comunidad defensiva.
Un mercado clandestino que se está profesionalizando
La investigación señala además la consolidación de un mercado paralelo de herramientas que integran IA y están diseñadas para facilitar actividades ilícitas: generar malware, automatizar phishing o buscar vulnerabilidades sin experiencia previa. Investigaciones como las de la firma española Zynap han permitido detectar y desmantelar algunos de estos servicios recientemente.
Estas plataformas rebajan la barrera de entrada para nuevos actores. Las fuerzas de seguridad han reportado detenciones relacionadas con el alquiler de paquetes completos de estafa digital, lo que confirma una tendencia hacia la industrialización del cibercrimen.
La transición ya ha empezado
El informe de Google refuerza una idea que se extiende en el sector: la defensa tendrá que ser tan dinámica como el ataque. La ciberseguridad entra en una etapa donde la velocidad para identificar y contener mutaciones será tan crucial como el análisis técnico.
La carrera entre atacantes y defensores se acelera. Y ahora, en el centro, hay sistemas capaces de aprender, adaptarse y evolucionar en tiempo real. ¿Quién se mueve más rápido? Esa será la diferencia entre contener la amenaza o perseguirla siempre un paso por detrás.
