Los ciberdelincuentes han pasado de experimentar con inteligencia artificial a integrarla de forma activa en sus operaciones. Así lo recoge el último informe AI Threat Tracker del Google Threat Intelligence Group (GTIG), que documenta un aumento de los ataques dirigidos a plataformas de IA y el uso creciente de estos sistemas con fines maliciosos.
El estudio destaca un repunte significativo de los llamados ataques de destilación o extracción de modelos, cuyo objetivo es analizar y replicar el razonamiento interno de sistemas avanzados como Gemini. Según el informe, estos intentos buscan obtener propiedad intelectual y clonar la lógica propietaria de los modelos, una tendencia que ha ganado intensidad a lo largo de 2025.
GTIG ha observado que actores respaldados por gobiernos utilizan IA durante distintas fases de sus campañas, especialmente en tareas de reconocimiento e ingeniería social. Entre los casos analizados figura APT42, vinculado a Irán, que empleó modelos generativos para recopilar información y elaborar pretextos más creíbles en correos dirigidos.
También destaca UNC2970, asociado a Corea del Norte, que utilizó Gemini para sintetizar inteligencia de fuentes abiertas y perfilar objetivos de alto valor en el sector de defensa.
Además, el informe señala la aparición de malware que integra directamente capacidades de IA. Una de las muestras detectadas, identificada como HONESTCUE, utilizaba la API de Gemini para generar funcionalidades dinámicas y tratar de eludir mecanismos tradicionales de detección.
La integración de IA también se ha extendido a kits de phishing. GTIG ha identificado una herramienta denominada COINBAIT, diseñada para suplantar un intercambio de criptomonedas y recolectar credenciales. Su desarrollo habría sido acelerado mediante generación automática de código con IA.
En paralelo, crece el interés en foros clandestinos por herramientas basadas en modelos comerciales. El informe detecta una demanda creciente de claves API robadas, necesarias para acceder a servicios avanzados sin coste. Un ejemplo es el kit “Xanthorox”, promocionado como una IA personalizada para generar malware, que en realidad se apoyaba en productos comerciales existentes
En un segundo informe publicado esta semana, Beyond the Battlefield: Threats to the Defense Industrial Base, GTIG analiza cómo los conflictos geopolíticos están ampliando el alcance de las operaciones cibernéticas hacia empresas del sector defensa
AI Threat Tracker_ Destilación,…
El documento señala que compañías europeas vinculadas al desarrollo de sistemas de aeronaves no tripuladas (UAS) han sido objeto de campañas de phishing y espionaje. Asimismo, el espionaje atribuido a China continúa siendo el más activo por volumen, con un foco creciente en dispositivos periféricos para lograr accesos persistentes y discretos.
Por su parte, Luke McNamara, deputy chief analyst de GTIG, ha advertido que “la industria de la defensa sigue siendo un objetivo prioritario para operaciones cibernéticas sofisticadas”. Según ha explicado, el abanico de tácticas empleadas por los adversarios se amplía a medida que crece la inversión global en defensa, lo que convierte la resiliencia del ecosistema digital en una prioridad estratégica.
En conjunto, los informes dibujan un escenario en el que la inteligencia artificial no solo impulsa la innovación, sino que redefine también el mapa de las amenazas digitales. La carrera por proteger los modelos y las infraestructuras críticas se intensifica a medida que la IA se convierte en un elemento central tanto para la economía como para la seguridad global.