La afirmación de Google sobre un zero-da…

Son las 4:14 de la madrugada. Un investigador de seguridad observa un bug de corrupción de memoria que no termina de cuadrar. El código ensamblado está limpio, la lógica es ajustada, pero hay una cualidad extrañamente repetitiva en la forma en que el exploit gestiona los desplazamientos de memoria; casi como si hubiera sido generado por un modelo estadístico en lugar de por un humano que lleva semanas odiando su vida. Se recuesta, se frota los ojos y se da cuenta de que está ante la primera evidencia de un zero-day escrito por una máquina.

O al menos, esa es la narrativa que Google quiere que nos traguemos.

El Grupo de Inteligencia de Amenazas de Google (GTIG) anunció recientemente que detuvo un exploit zero-day que, según afirman, fue desarrollado con IA. Según un informe de The Verge, «actores de amenazas de ciberdelincuencia de primer nivel» se estaban preparando para un evento de explotación masiva. Google lo detectó a tiempo, detuvo la hemorragia y, a continuación, hizo lo más propio de Google: enmarcó todo el suceso en torno al ángulo de la IA.

La afirmación es que los atacantes utilizaron IA para encontrar la vulnerabilidad y redactar el exploit. Es el tipo de noticia que hace que la alta dirección entre en pánico y autoricen de inmediato un aumento del 20 % en el presupuesto para la «gestión de la postura de seguridad impulsada por IA». Suena a la trama de un thriller de presupuesto medio donde los robots empiezan a hackear el mainframe. Pero para los que realmente escribimos código, la etiqueta de «desarrollado con IA» parece un envoltorio de marketing conveniente para algo mucho más prosaico.

Seamos honestos con la forma en que se encuentran realmente los exploits. La mayoría de los zero-days no son el resultado de un genio sentado en una habitación oscura tecleando frenéticamente. Son el producto del fuzzing: lanzar millones de permutaciones de datos malformados contra un objetivo hasta que algo se rompe. La IA es muy buena optimizando el fuzzing. Puede sugerir mejores semillas o identificar patrones en los fallos que un humano podría pasar por alto.

Calificar un zero-day de «desarrollado con IA» porque un LLM ayudó a optimizar un fuzzer es como decir que un atleta profesional está «mejorado con robots» porque usa una cinta de correr de alta tecnología. La herramienta es útil, pero la física fundamental del juego no ha cambiado. El atacante aún tuvo que identificar el objetivo, comprender la disposición de la memoria y averiguar cómo eludir las mitigaciones modernas (que, por cierto, son una pesadilla para gestionar).

Google está jugando aquí un juego peligroso de inflación narrativa. Al atribuir el exploit a la IA, desvían la atención del hecho de que, en primer lugar, existía un zero-day en su ecosistema. Convierten un fallo en la codificación segura en un triunfo de la detección por IA. Si el «malo» es una IA omnipotente, entonces Google no es solo una empresa con un bug; es la valiente defensora de la frontera digital.

No es más que una forma elegante de describir el fuzzing automatizado.

Ya hemos visto este patrón antes con los correos de phishing «generados por IA» que provocaron pánico general el año pasado. Sí, la gramática es mejor y los señuelos más personalizados, pero el mecanismo subyacente sigue siendo simplemente un enlace a una página de inicio de sesión falsa. La parte de «IA» no es más que una capa de pintura.

¿Significa esto que deberíamos ignorar la amenaza? No. Pero deberíamos dejar de fingir que los LLM están escribiendo de repente exploits complejos y multietapa desde cero. El salto de «escribir un script en Python que llama a una API» a «elaborar un zero-day estable para un kernel endurecido» es enorme.

Dicho esto, la industria se encuentra ahora en un bucle de retroalimentación. Google afirma que los atacantes usaron IA, por lo que estos intentarán usarla con más agresividad para demostrar el punto. Esto provocará una avalancha de herramientas de seguridad «nativas de IA» que no son más que wrappers para escáneres existentes con un prompt de GPT-4 por encima. Para el tercer trimestre, veremos surgir una docena de nuevas startups de «Seguridad con IA» entre los escombros de este ciclo de noticias, prometiendo detener amenazas «generadas por IA» con escudos «impulsados por IA».

(Sospecho que la mayoría de ellas solo estarán vendiendo paneles de control sobrevalorados).

La verdadera pregunta no es si la IA puede encontrar bugs; puede, y siempre lo ha hecho, bajo la forma de análisis estático y fuzzing. La verdadera pregunta es por qué estamos tan ansiosos por atribuirle a la máquina el mérito del brillo del hackeo, mientras le damos a los humanos el crédito por la solución.

Cobertura relacionada

La brecha entre los consejos de carrera en IA y la realidad técnica

Límites de suscripción y transparencia en la limitación de Google Gemini

Text-to-Speech local: Priorizar la latencia sobre la fidelidad de audio

Google AI Overviews y la sostenibilidad de la web abierta