El Grupo de Inteligencia de Amenazas de Google (GTIG) ha detenido un exploit de día cero diseñado para eludir la autenticación de dos factores en una herramienta administrativa de código abierto. Los investigadores detectaron que actores de ciberdelincuencia planeaban un ataque masivo, y las pistas sobre la participación de inteligencia artificial incluyeron una puntuación CVSS inventada y un formato de texto muy estructurado.
El exploit y las huellas de un modelo de lenguaje 🧠
Los analistas de GTIG identificaron que el código malicioso explotaba una vulnerabilidad desconocida para saltarse la verificación en dos pasos. Lo que llamó la atención fue la presencia de una puntuación CVSS alucinada, un error típico cuando un modelo de lenguaje genera datos sin validar. Además, el formato del informe técnico asociado al exploit mostraba una estructura y redacción muy similares a las salidas de asistentes de IA, lo que llevó a los investigadores a concluir que la inteligencia artificial participó en su desarrollo.
Ni ChatGPT aprobó el examen de seguridad 🤖
Parece que los ciberdelincuentes pidieron ayuda a la IA para crear su exploit, pero el asistente les devolvió un informe con una puntuación de riesgo inventada. Vamos, que la IA les hizo el trabajo, pero se inventó los deberes. Menos mal que Google lo pilló, porque si no, la herramienta de código abierto habría necesitado algo más que un simple CAPTCHA para protegerse de este desaguisado digital.