GTIG afirma haber detenido un ataque masivo tras explotación de un zero-day descubierta con IA

El 12 de mayo de 2026 el Threat Intelligence Group (GTIG) reportó el primer caso conocido en que un atacante utilizó inteligencia artificial para localizar y convertir en arma una vulnerabilidad zero‑day; GTIG afirma que detectó la explotación planificada y logró detener el ataque masivo que estaba en preparación. Este hallazgo importa porque acelera la cadena desde el descubrimiento hasta la explotación, reduciendo el tiempo de respuesta disponible para defensores y mantenedores.

El informe detalla muestras y artefactos usados por los atacantes y también por los equipos defensivos. Entre los elementos citados aparece el proyecto de GitHub “wooyun — legacy”, descrito como un plugin para el modelo Claude que incorpora más de 85,000 casos reales extraídos de la plataforma WooYun para ayudar a modelos a analizar código. Asimismo, se documenta un malware Android identificado como PROMPTSPY, que emplea la API Gemini para orquestar control autónomo de dispositivos.

GTIG advierte que los llamados frontier LLMs son especialmente eficaces como herramientas de propósito general para el descubrimiento de vulnerabilidades y que sus capacidades continúan creciendo. El informe atribuye uso de IA a actores estatales — mencionando grupos vinculados a China y Corea del Norte— y describe prácticas observadas en actores rusos que integran ofuscación generada por IA dentro de código malicioso. También se registran campañas criminales, como el grupo ‘TeamPCP’, orientadas a comprometer la cadena de suministro de IA y paquetes open‑source.

La combinación de modelos potentes y grandes repositorios de vulnerabilidades reduce el tiempo necesario para encontrar exploits y facilita la ofuscación automática, lo que eleva el riesgo para mantenedores de bibliotecas, administradores de infraestructuras y proveedores de APIs. Para desarrolladores y equipos de seguridad esto implica reforzar las revisiones de dependencias, establecer vigilancia activa sobre paquetes populares y considerar medidas automatizadas de detección y hardening dentro del ciclo de despliegue. Como respuesta defensiva, GTIG describe contramedidas basadas en IA desarrolladas internamente, citando herramientas llamadas Big Sleep y CodeMender como parte de su conjunto de mitigaciones. El informe incluye además indicadores de compromiso, metodología y orientaciones técnicas para análisis y remediación.

Quienes necesiten detalles metodológicos, muestras y orientación técnica pueden consultar el informe completo del GTIG y la nota técnica asociada, donde se enumeran herramientas, artefactos y recomendaciones de mitigación destinadas a equipos de seguridad y mantenedores de software.