Por primera vez, un hacker usó IA para crear un exploit de día cero — Google lo descubrió y lo frenó

Desde que los modelos de lenguaje grandes empezaron a demostrar capacidades de programación avanzadas, la pregunta que los investigadores de ciberseguridad llevaban repitiendo era siempre la misma: ¿cuándo veremos el primer exploit real creado con IA? La respuesta llegó el lunes, y la publicó el propio Google.

El Grupo de Inteligencia de Amenazas de Google reveló en un informe que había frenado el intento de un grupo de hackers de usar modelos de inteligencia artificial para «planificar una operación masiva de explotación de vulnerabilidades». El GTIG afirma tener «alta confianza» en que los atacantes usaron un modelo de IA para identificar y explotar una vulnerabilidad de día cero, creando una forma de eludir la autenticación en dos factores de una popular herramienta de administración de sistemas de código abierto. IEEE Spectrum

Es la primera vez que el equipo de inteligencia de amenazas de Google documenta un exploit de día cero que cree fue desarrollado con IA. El ataque se abortó antes de ejecutarse, pero su naturaleza cambia el escenario de amenazas de forma estructural.

Cómo funciona OpenClaw y por qué es el vector de ataque central

En las semanas previas al ataque, los riesgos asociados al ecosistema de agentes de IA OpenClaw ya habían sido documentados por investigadores de VirusTotal: los actores de la amenaza estaban distribuyendo paquetes maliciosos que se hacían pasar por habilidades legítimas de OpenClaw, con rutinas ocultas diseñadas para ejecutar código no autorizado en el sistema del usuario. Dado el nivel elevado de acceso al sistema que se otorga a OpenClaw, una habilidad comprometida podría usarse para ejecutar código, descargar payloads adicionales y descubrir y exfiltrar datos locales. newsofbahrain

El patrón es el mismo que el del ataque a la librería Axios que cubrimos la semana pasada: la cadena de suministro de software como vector de entrada. En lugar de atacar directamente a los sistemas objetivo, los atacantes comprometen las herramientas que los desarrolladores y administradores usan para construir y gestionar esos sistemas. La diferencia es que esta vez la IA no fue solo el canal de distribución sino también el instrumento de desarrollo del exploit.

En marzo de 2026, el actor de amenazas «TeamPCP» (también conocido como UNC6780) se atribuyó múltiples compromisos de la cadena de suministro de repositorios populares de GitHub y GitHub Actions, incluyendo los asociados al escáner de vulnerabilidades Trivy, Checkmarx, LiteLLM y BerriAI. Los actores estaban experimentando con herramientas agénticas como OpenClaw y OneClaw junto a entornos de prueba intencionalmente vulnerables, sugiriendo un interés en perfeccionar payloads generados por IA en entornos controlados antes de desplegarlos. newsofbahrain

Lo que el informe revela sobre el estado del ecosistema de amenazas

El informe de GTIG documenta una transición madura desde operaciones incipientes habilitadas por IA hasta la aplicación a escala industrial de modelos generativos dentro de los flujos de trabajo adversariales. Los grupos vinculados a China y Corea del Norte «demostraron un interés significativo en capitalizar la IA para el descubrimiento de vulnerabilidades». newsofbahrain

Hay un detalle técnico del exploit descubierto que merece atención: el exploit identificado era un script de Python que permitía al usuario eludir la autenticación en dos factores de una herramienta popular de administración de sistemas basada en web. El GTIG trabajó con el proveedor afectado para divulgar responsablemente la vulnerabilidad e interrumpir la actividad de la amenaza. IEEE Spectrum

Que el exploit apuntara específicamente al bypass de la autenticación de dos factores no es accidental. La 2FA es la capa de seguridad que protege el acceso a la mayoría de sistemas empresariales. Un exploit que la anula tiene un radio de daño potencial que va mucho más allá de un sistema concreto.

La implicación que cambia el debate sobre regulación de modelos

Este hallazgo llega en el momento en que el debate sobre qué capacidades deben tener los modelos de IA —y bajo qué condiciones pueden desplegarse— está en el centro de las negociaciones entre los laboratorios y los gobiernos. Anthropic retrasó el despliegue de Mythos Preview precisamente por las preocupaciones sobre sus capacidades ofensivas en ciberseguridad. El informe de GTIG de hoy confirma que esas preocupaciones no eran hipotéticas.

Los hallazgos subrayan cómo los hackers están usando herramientas de IA disponibles como OpenClaw para explotar fallos de software de formas que pueden ser particularmente dañinas para empresas, agencias gubernamentales y otras organizaciones, incluso mientras las firmas de ciberseguridad invierten miles de millones en reforzar sus defensas. The Register

La carrera entre atacantes y defensores siempre ha existido. Lo que cambia con la IA es la velocidad a la que los atacantes pueden iterar sobre vulnerabilidades nuevas y la accesibilidad de esas capacidades para actores que antes no habrían tenido los recursos técnicos para desarrollarlas. El primer exploit de día cero creado con IA que Google ha documentado no es el último. Es el primero que alguien publicó.