Google ha publicado un nuevo reporte sobre el uso de inteligencia artificial en el universo del crimen informático. Los expertos en seguridad de la compañía advierten que durante el último año se ha dado un cambio significativo. Las IA ya no se utilizan solo para producir las herramientas, ahora son parte de sus mecanismos. Esto incluye malware capaz de cambiar su código para no ser identificado o modificar su comportamiento de forma dinámica durante un ataque.
PROMPTFLUX de las mil caras
Los investigadores de Google señalan que muchas de las técnicas detectadas parecen estar en una etapa experimental. Sin embargo, son claros indicadores de lo que podemos esperar en el futuro: la integración de las capacidades de las IA a la actividad delictiva.
En junio de este año se detectó la familia de malware conocida como PROMPTFLUX. Está escrita en VBScript e interactúa con la API de Gemini para conseguir código en dicho lenguaje que le permita alterar su forma y evadir los sistemas de detección de firma estáticos. Es decir, cambia de apariencia en cada ocasión para que no suenen las alarmas.
La conexión Gemini
Las muestras de este malware tienen muchas funciones comentadas (marcadas para ser ignoradas) en el código, que por tanto no están todavía disponibles. El corazón del malware es sin dudas el modulo Thinking Robot, que hace los pedidos a la IA de Google para obtener el código. Las instrucciones observadas apuntan de forma específica a obtener código de la última versión estable disponible de la IA. También la función de auto modificación aparece comentada, pero obviamente es una situación temporal.
Ingeniería social contra la IA
En el reporte se aclara que para pasar los mecanismos de seguridad de Gemini y producir un lenguaje malicioso se utilizan técnicas de ingeniería social. En algunas consignas el usuario pretende ser un estudiante en un juego de captura la bandera, o un investigador de seguridad. Google afirma haber tomado medidas para prevenir este tipo de maniobras.
