En los últimos tres meses de 2025, los analistas del Google Threat Intelligence Group (GTIG) documentaron algo que los equipos de seguridad intuían pero no podían probar con nombres propios: APT31, APT42, APT41 y actores vinculados a DPRK e Irán utilizan activamente Gemini para acelerar cada fase de su ciclo de ataque. No como experimento. Como herramienta operacional integrada en cadenas de intrusión reales.

El informe publicado el 12 de febrero de 2026 no solo identifica actores. Documenta técnicas, asigna nombres a nuevas familias de malware y describe cómo la IA generativa está transformando el arsenal ofensivo de los adversarios más sofisticados del planeta. La conclusión central del GTIG es precisa y no deja margen de interpretación: los LLMs todavía no generan capacidades de ruptura, pero sí están acelerando operaciones, reduciendo costos y ampliando el alcance de actores con recursos limitados.

Robar un Modelo sin Tocarlo: Los Ataques de Destilación

Antes de que un actor de amenaza toque una sola línea de infraestructura de su target, puede ya estar robando uno de sus activos más valiosos: la inteligencia codificada en sus modelos de IA propietarios. Los ataques de extracción de modelos, también conocidos como distillation attacks, son una forma de robo de propiedad intelectual que no requiere intrusión directa. Solo requiere acceso legítimo a la API.

El mecanismo es preciso en su sencillez: el adversario actúa como un usuario más, lanza miles de prompts estratégicamente diseñados al modelo objetivo y recopila sus respuestas. Con esos pares pregunta-respuesta entrena su propio modelo, el «estudiante», que replica la lógica y las capacidades del modelo «maestro» sin haber accedido jamás a sus parámetros internos.

Google DeepMind y GTIG identificaron y desarticularon múltiples campañas de este tipo durante 2025 provenientes de investigadores y empresas del sector privado de todo el mundo, con el objetivo de clonar las capacidades de razonamiento de Gemini. Una campaña concreta instruyó al modelo para que expusiera su proceso de razonamiento interno completo en lugar del resumen habitual entregado al usuario como vector de extracción. Más de 100.000 prompts generados para una sola operación. Google detectó el patrón en tiempo real y degradó la información accesible antes de que la extracción fuera significativa.

Estos ataques no amenazan la disponibilidad ni la integridad del servicio para usuarios normales. Su objetivo es el desarrollador del modelo, no el usuario final. Y su consecuencia es que cualquier ventaja competitiva codificada en años de entrenamiento puede clonarse en distintos idiomas y dominios.

Cuando el Adversario Tiene un Asistente: Reconocimiento Aumentado por IA

La fase de reconocimiento es donde los LLMs generan mayor ventaja táctica para el atacante. Sintetizar inteligencia de fuentes abiertas (OSINT), mapear estructuras organizacionales, identificar tomadores de decisión en sectores de defensa y perfilar targets de alto valor: operaciones que antes tomaban días de trabajo manual se comprimen en minutos cuando hay un modelo de lenguaje disponible.

UNC2970, el grupo norcoreano que se hace pasar por reclutadores corporativos, usó Gemini para construir perfiles detallados de targets en empresas de ciberseguridad y defensa: roles técnicos específicos, rangos salariales, organigramas completos. Información que normalmente exige días de investigación manual. La IA lo resolvió en minutos y con una coherencia que hace más creíbles los señuelos de ingeniería social usados en fases posteriores.

APT31 y el Prompt con Persona de Experto en Ciberseguridad

APT31 (República Popular China) empleó una táctica más sofisticada: construir prompts con la identidad de un investigador de seguridad para automatizar el análisis de vulnerabilidades. El grupo instruyó a Gemini bajo el pretexto de estar probando el tooling de Hexstrike MCP, pidiéndole que analizara técnicas de bypass de WAF, Remote Code Execution y resultados de SQL injection contra targets específicos en Estados Unidos. Reconocimiento activo (MITRE ATT&CK T1595) ejecutado con asistencia de IA.

La maniobra ilustra el problema central del uso ofensivo de LLMs: la línea entre una consulta legítima de seguridad y una operación de reconocimiento malicioso desaparece cuando el adversario controla el contexto. Gemini no puede distinguir un pentester autorizado de un actor de amenaza si el prompt es suficientemente creíble.

Phishing Aumentado: El Fin del Correo con Faltas de Ortografía

Los indicadores tradicionales de phishing, gramática deficiente, sintaxis extraña, ausencia de contexto cultural local, están siendo eliminados de forma sistemática. Los grupos rastreados por GTIG usan LLMs para generar señuelos hiper-personalizados, culturalmente precisos, en el idioma nativo del target y con el tono exacto de la organización suplantada.

APT42 (Irán) usó Gemini para construir personas creíbles basadas en la biografía de sus targets, establecer pretextos de aproximación convincentes y generar contenido en idiomas no nativos con fluidez nativa. El grupo también enumera emails oficiales de entidades específicas mediante Gemini para mejorar la precisión de sus campañas de spear phishing antes de ejecutarlas.

Rapport-Building: La IA que Construye Confianza Turno a Turno

La evolución más preocupante documentada en el informe es el rapport-building phishing: el uso de LLMs para mantener conversaciones multi-turno con víctimas, construyendo confianza de forma progresiva antes de que se entregue cualquier payload malicioso. No basta con entrenar al usuario para detectar un email sospechoso cuando el adversario puede sostener una conversación convincente durante días.

UNC6418, un actor sin atribución estatal definida, identificó credenciales y direcciones de email de targets en Ucrania y el sector defensa usando Gemini, y a continuación ejecutó campañas de phishing precisamente sobre esos mismos contactos. El enlace directo entre reconocimiento asistido por IA y operación en el mundo real es uno de los hallazgos más significativos del trimestre, y uno de los más difíciles de contener con controles técnicos convencionales.

HONESTCUE y COINBAIT: La Primera Generación de Malware con IA Integrada en Tiempo de Ejecución

El informe documenta dos familias de malware que representan un salto cualitativo respecto a familias anteriores con capacidades adaptativas: no son herramientas construidas con ayuda de IA, sino herramientas que llaman a la IA en tiempo de ejecución como parte de su arquitectura funcional.

HONESTCUE, observado en septiembre de 2025, es un downloader que envía un prompt hardcodeado a la API de Gemini y recibe código C# como respuesta. Ese código se compila y ejecuta directamente en memoria como funcionalidad de segunda etapa, descarga y ejecución de otro payload, usando el framework legítimo .NET CSharpCodeProvider. Sin artefactos en disco. Sin firma estática analizable. La detección basada en análisis de payload tradicional no tiene nada que inspeccionar.

Ejecución Fileless via API: El Problema de la Atribución y la Detección

La arquitectura de HONESTCUE es deliberada en su evasión: el prompt hardcodeado dentro del malware no contiene instrucciones maliciosas por sí mismo. Fuera de contexto, parece una solicitud de código legítimo. El modelo genera código funcional sin saber que forma parte de una cadena de ataque. La cadena completa solo es visible cuando se correlacionan el prompt, la respuesta de la API de Gemini y la ejecución en memoria, tres eventos que difícilmente coinciden en la telemetría de un SOC convencional.

COINBAIT, identificado en noviembre de 2025 y atribuido con alta confianza a UNC5356, es un phishing kit construido probablemente con Lovable AI, una plataforma de generación de código mediante prompts de alto nivel, que se presenta como interfaz de recuperación de wallets de una exchange de criptomonedas. El kit incluye un React SPA con gestión de estado compleja y logging detallado de cada acción del usuario, un fingerprint involuntario que el GTIG usó para identificar la familia. Los mensajes de log prefijados con "Analytics:" documentaban en tiempo real las operaciones de exfiltración de credenciales.

El Ecosistema Underground: Xanthorox y el Mercado Negro de Claves API

El informe no limita el análisis a actores estatales. En el mercado underground, ha emergido un ecosistema de herramientas que prometen capacidades ofensivas basadas en IA personalizada, aunque la realidad técnica detrás de esas promesas es considerablemente más modesta.

Xanthorox se publicita en foros de habla inglesa y rusa como un modelo de IA de desarrollo propio, privado y orientado a operaciones ofensivas autónomas: generación de malware, ransomware y contenido de phishing. La investigación de GTIG reveló que no es un modelo personalizado sino una interfaz montada sobre modelos comerciales, incluyendo Gemini, combinados mediante servidores Model Context Protocol (MCP) con herramientas open source: Crush, Hexstrike AI, LibreChat-AI y Open WebUI. La promesa de IA soberana para el crimen organizado. La realidad: jailbreak coordinado sobre infraestructura comercial.

Paralelamente, plataformas populares de acceso a LLMs como One API y New API son explotadas para robar claves de API mediante credenciales por defecto, ausencia de rate limiting, endpoints inseguros y fallos de XSS. Las claves robadas alimentan un mercado negro de acceso no autorizado a modelos de lenguaje que reduce drásticamente el costo de entrada para actores con recursos técnicos limitados. La IA agéntica como plataforma ofensiva deja de ser un escenario teórico cuando el adversario puede comprar acceso al modelo por céntimos de dólar con claves ajenas.

Lo Que el GTIG No Observó, y Por Qué Importa

El informe incluye una aclaración que merece subrayarse: GTIG no observó ataques directos sobre modelos frontier por parte de actores APT, ni capacidades de ruptura que alteren fundamentalmente el panorama de amenazas. Los actores siguen usando la IA como multiplicador de productividad, no como capacidad radicalmente nueva.

Eso no es una buena noticia. Es una ventana de tiempo. Los mismos actores que hoy usan Gemini para acelerar reconocimiento y depurar código malicioso son los que en 2023 no usaban LLMs en absoluto. La curva de adopción ofensiva es medible y va en una sola dirección.

¿Cuánto tiempo necesita tu organización para detectar que un adversario lleva dos semanas usando IA para perfilarte, enumerar tus contactos clave y preparar un señuelo personalizado para cada uno de ellos?