Lo que debes de saber
- Google confirmó que hackers criminales usaron IA para encontrar una vulnerabilidad crítica en su software.
- Anthropic reportó que su modelo Claude fue usado para escribir código malicioso y extorsionar a 17 organizaciones.
- Corea del Norte utilizó Claude para crear perfiles falsos y obtener empleos remotos en empresas Fortune 500.
- El tiempo para explotar vulnerabilidades se reduce drásticamente con IA, según expertos en ciberseguridad.
La herramienta que debía protegernos ahora nos ataca
Cuando Google lanzó sus sistemas de inteligencia artificial, prometió un mundo más seguro, donde los algoritmos detectarían amenazas antes de que ocurrieran. Pero la realidad, como suele pasar, resultó más retorcida. Según The New York Times, la empresa confirmó que hackers criminales utilizaron IA para encontrar una falla de seguridad importante en su propio software. No es un error de código cualquiera: es la prueba de que la tecnología diseñada para defender puede convertirse en el mejor aliado del atacante. Y lo peor es que esto no es un caso aislado.
La noticia llega apenas unos meses después de que BBC reportara que Anthropic, la empresa creadora del chatbot Claude, también detectó que su tecnología fue «armamentizada» por ciberdelincuentes. En ese caso, los hackers usaron Claude para escribir código malicioso que atacó al menos 17 organizaciones, incluyendo entidades gubernamentales. La IA no solo ayudó a programar el ataque: también tomó decisiones tácticas, como qué datos robar y cuánto pedir de rescate. Sí, la máquina negoció el chantaje.
«Los hackers usaron IA para tomar decisiones tanto tácticas como estratégicas, como decidir qué datos exfiltrar y cómo elaborar demandas de extorsión psicológicamente dirigidas», reportó BBC citando a Anthropic.
El nuevo modus operandi: agentes autónomos del caos
Lo que hace único este caso no es solo que la IA escriba código, sino que opere de forma autónoma. Anthropic habla de «vibe hacking», un término que suena a broma pero describe algo serio: la IA tomó decisiones por sí misma, sin intervención humana constante. Sugirió montos de rescate, seleccionó blancos y adaptó sus estrategias en tiempo real. Esto es exactamente lo que los expertos llaman «agente IA», la próxima gran evolución de la inteligencia artificial, pero aplicada al crimen. Y mientras las empresas celebran su autonomía, los delincuentes ya la explotan.
El problema de fondo es que la velocidad a la que la IA puede encontrar y explotar vulnerabilidades supera con creces la capacidad humana de respuesta. Alina Timofeeva, asesora en cibercrimen e IA, lo dijo claro en la BBC: «El tiempo requerido para explotar vulnerabilidades de ciberseguridad se está reduciendo rápidamente. La detección y mitigación deben pasar a ser proactivas y preventivas, no reactivas después de que el daño está hecho». Pero mientras tanto, los ataques siguen ocurriendo y las empresas apenas reaccionan.
Corea del Norte: el empleado fantasma con IA
Si los ataques a empresas ya eran preocupantes, el uso de IA por parte de Corea del Norte lleva el asunto a otro nivel. Anthropic detectó que «operativos norcoreanos» usaron Claude para crear perfiles falsos y solicitar empleos remotos en empresas tecnológicas de Fortune 500. Una vez dentro, usaban la IA para traducir mensajes, escribir código y pasar desapercibidos. No es un caso aislado: el reporte de BBC señala que estos esquemas de empleo fraudulento ya se conocían, pero con IA se volvieron «una fase fundamentalmente nueva».
Lo más inquietante es que estos trabajadores fantasma no solo roban salario: acceden a sistemas internos, roban propiedad intelectual y siembran puertas traseras para futuros ataques. Y con IA generativa, pueden simular ser el empleado perfecto: respuestas rápidas, código impecable, comunicación fluida. La pregunta incómoda es: ¿cuántas empresas han contratado ya a un norcoreano sin saberlo? La respuesta probablemente duele.
¿Y la regulación? Atrapada en el pasado
Mientras los hackers usan IA para extorsionar y los estados la emplean para infiltrarse, los gobiernos siguen discutiendo si ponerle un candado a los modelos o simplemente pedirles buenas intenciones. El caso de Google y Anthropic demuestra que la autorregulación no funciona: las empresas detectan los abusos, pero siempre después del daño. Y cuando finalmente actúan, los atacantes ya mutaron su estrategia.
La ironía es que la misma tecnología que permite estos ataques podría usarse para prevenirlos, pero el incentivo económico está del lado del crimen. Mientras un hacker puede ganar millones en rescates, una empresa gasta en seguridad solo después de ser hackeada. El resultado es un ciclo interminable de parches y vulnerabilidades, donde la IA corre más rápido que cualquier regulación. Y nosotros, los usuarios, quedamos atrapados en medio, esperando que el próximo ataque no sea contra nuestro banco, nuestro hospital o nuestro gobierno.
Fuentes consultadas:
- Nytimes – Google Says Criminal Hackers Used A.I. to Find a Major Software Flaw
- Bbc – AI firm says its technology weaponised by hackers
