El mundo de la ciberseguridad a menudo está preocupado por un escenario “apocalíptico”: una IA avanzada y autónoma que puede sortear cualquier firewall como una superpotencia digital. Sin embargo, una investigación reciente revela una amenaza mucho más inmediata y práctica. En lugar de crear “superhackers”, la IA generativa actúa como multiplicador de fuerza para delincuentes mediocres y no calificados, permitiéndoles ejecutar operaciones altamente rentables y a gran escala.
Un informe reciente de la firma de ciberseguridad Expel ha descubierto un grupo patrocinado por el estado de Corea del Norte, denominado “HexagonalRodent “, que utilizó herramientas comerciales de inteligencia artificial para robar aproximadamente 12 millones de dólares en criptomonedas en sólo tres meses.
La campaña “Vibe Coding”
La operación de HexagonalRodent no se definió por la brillantez técnica, sino por el uso inteligente de herramientas de inteligencia artificial fácilmente disponibles de compañías como OpenAI, Cursor y Anima. El grupo se centró en un nicho específico: desarrolladores que trabajan en proyectos Web3, NFT y criptomonedas a pequeña escala.
Los piratas informáticos utilizaron una sofisticada táctica de ingeniería social:
1. Reclutamiento falso: Utilizaron herramientas de diseño web de inteligencia artificial para crear sitios web de apariencia profesional para empresas de tecnología fraudulentas.
2. Phishing a través de “Pruebas”: Atraían a las víctimas con ofertas de trabajo falsas y finalmente les pedían que completaran una “tarea de codificación”.
3. Inyección de malware: Estas asignaciones fueron infectadas con malware de robo de credenciales diseñado para secuestrar billeteras criptográficas.
“Estos operadores no tienen las habilidades para escribir código… La IA en realidad les permite hacer cosas que de otro modo simplemente no podrían hacer”, dice Marcus Hutchins, el investigador de seguridad que descubrió el grupo.
Huellas digitales: emojis e inglés
A pesar de su éxito, los piratas informáticos dejaron pistas inequívocas de que su trabajo fue generado por IA. Los investigadores de seguridad notaron varios “indicios” en el malware:
– Código lleno de emojis: El malware contenía el uso frecuente de emojis, una peculiaridad común de los modelos de lenguaje grande (LLM, por sus siglas en inglés) que los programadores profesionales rara vez usan en la codificación manual.
– Anotaciones poco características: El código tenía muchas anotaciones con comentarios en inglés, lo cual es atípico para los operadores norcoreanos pero estándar para los resultados generados por IA.
– Patrones estándar: Si bien el malware seguía patrones predecibles que las herramientas de seguridad modernas deberían detectar, los piratas informáticos evadieron con éxito la detección al atacar a desarrolladores individuales que carecían de software de “detección y respuesta de endpoints” (EDR) de nivel empresarial.
Un multiplicador de fuerza para un “sindicato del crimen”
Este descubrimiento destaca un cambio crítico en la forma en que Corea del Norte lleva a cabo la guerra cibernética. El régimen enfrenta un desafío estructural: tiene una enorme reserva de trabajadores de TI poco calificados, pero un número muy limitado de hackers de élite.
La IA resuelve este problema al permitir que el Estado escale sus operaciones sin aumentar su experiencia. En lugar de necesitar un equipo de desarrollo completo, un único operador mediocre puede utilizar la IA para escribir exploits, crear sitios web y pulir scripts de ingeniería social. Esto ha convertido las operaciones cibernéticas de Corea del Norte en algo parecido a un sindicato criminal sancionado por el Estado, que utiliza fondos robados para eludir las sanciones internacionales y financiar intereses nacionales, incluidos los programas nucleares.
El punto ciego de la industria
Las implicaciones más amplias para la industria de la ciberseguridad son significativas. Si bien gran parte del debate actual se centra en el riesgo futuro del “pirateo autónomo de la IA”, el peligro real se produce ahora mismo a través del mal uso de las herramientas comerciales existentes.
Los principales proveedores de IA ya están contraatacando. OpenAI y Anthropic han informado haber detectado y prohibido cuentas norcoreanas. Cursor y Anima también están trabajando para impedir que actores maliciosos utilicen sus plataformas.
Sin embargo, mientras estas herramientas sigan siendo accesibles, seguirán reduciendo la barrera de entrada del ciberdelito. La amenaza no es un hipotético “Skynet”; es la capacidad de actores no calificados para moverse a una velocidad y escala sin precedentes.
Conclusión: La IA no necesariamente está creando hackers más sofisticados, pero está permitiendo que los mediocres operen a nivel profesional, convirtiendo el cibercrimen poco calificado en una industria de alto rendimiento patrocinada por el Estado.
