El 11 de mayo de 2026, Google publicó la primera prueba documentada en la historia de que un grupo criminal usó inteligencia artificial para desarrollar un exploit zero-day. El Google Threat Intelligence Group (GTIG) identificó el código Python del exploit y reconoció su origen de inmediato: docstrings excesivamente didácticos, un CVSS score inventado que no existe en ninguna base de datos, y una estructura simétrica que ningún desarrollador humano escribiría así. La IA firmó su propio trabajo. El ataque apuntaba a una popular herramienta de administración web open-source, no identificada por Google, y habría permitido a cualquier usuario con credenciales válidas saltarse el 2FA. No lo consiguió: Google colaboró con el proveedor para parchear la vulnerabilidad antes del lanzamiento de la campaña.
John Hultquist, analista jefe de GTIG, fue tajante: “Existe la idea equivocada de que la carrera por las vulnerabilidades de IA es inminente. La realidad es que ya ha comenzado.” Y añadió la parte más inquietante: “Por cada zero-day que logramos atribuir a la IA, probablemente hay muchos más ahí fuera.”
Cómo Google reconoció el código generado por IA
No era el tipo de vulnerabilidad que suele escapar a los análisis clásicos. No era un bug de corrupción de memoria ni un fallo de saneamiento de entradas. Era algo más sutil: un error de lógica semántica, una suposición de confianza codificada de forma rígida por el desarrollador original que contradecía la lógica de autenticación de la aplicación. Los escáneres tradicionales no lo habrían detectado, porque buscan crashes, sink points y corrupción de memoria. No leen el código como lo haría un desarrollador, ni buscan contradicciones entre el diseño previsto y su implementación. Los LLM sí pueden hacerlo. Son capaces de correlacionar intención con implementación, detectar contradicciones y hacer aflorar errores lógicos latentes que parecerían correctos a cualquier herramienta automatizada convencional.
Lo que traicionó al atacante fue el estilo. El código Python contenía comentarios desproporcionadamente largos, como si el modelo estuviera explicando cada línea a un estudiante. Incluía un CVSS score inventado con un número de versión inexistente en las bases de datos CVE reales, y presentaba la estructura limpia y simétrica típica de los outputs de LLM, esa que un desarrollador humano rompería con variables mal nombradas y comentarios en varios idiomas. Según el informe GTIG del 11 de mayo, el grupo tiene alta confianza en que un modelo de IA asistió tanto en el descubrimiento como en la preparación de la vulnerabilidad. El modelo usado no era Gemini ni Claude Mythos, el modelo de Anthropic bloqueado en abril de 2026 precisamente porque encontraba vulnerabilidades críticas a una velocidad inaceptable. Se sospecha del uso de OpenClaw o un modelo equivalente.
No un incidente aislado: el ecosistema más amplio del informe GTIG
El caso del zero-day es solo un punto en un mapa mucho más grande. El informe GTIG del 11 de mayo documenta un ecosistema de actividades asistidas por IA que abarca actores estatales y criminales en paralelo.
APT45, el grupo militar norcoreano, envía “miles de prompts repetitivos” a los modelos de IA para analizar CVE de forma recursiva y validar pruebas de concepto, construyendo un arsenal de exploits a escala industrial que sería inviable sin IA. UNC2814, actor vinculado a China, usa técnicas de jailbreak de “personaje experto” para que Gemini busque vulnerabilidades de ejecución remota en el firmware de TP-Link y en los protocolos OFTP. APT27, también de origen chino, utilizó Gemini para desarrollar una aplicación de gestión de red que enruta tráfico a través de IP residenciales, un sistema de cobertura difícil de detectar.
En el frente criminal, los grupos rusos distribuyeron las familias de malware CANFAIL y LONGSTREAM, ambas repletas de código generado por IA usado como relleno para confundir el análisis de los investigadores. Luego está PromptSpy: un backdoor Android identificado por ESET que llama directamente a las API de Gemini para navegar de forma autónoma el dispositivo infectado, interpretar la pantalla en tiempo real y determinar las acciones siguientes. Autónomo. No teledirigido por el atacante, sino dirigido por el modelo en respuesta al estado del sistema.
Línea de tiempo: ataques asistidos por IA en 2026
¿Cómo usan los hackers la IA para desarrollar exploits?
El proceso documentado por GTIG tiene tres fases. En la primera, el atacante proporciona al modelo el código fuente del sistema objetivo o su documentación pública, y le pide identificar posibles superficies de ataque lógicas, no solo del tipo clásico (buffer overflow, injection).
Los LLM pueden leer el código como lo haría un desarrollador: comprenden la intención, comparan intención e implementación, e identifican dónde divergen ambas. En la segunda fase, el modelo genera un proof-of-concept en Python con código estructurado, comentado y funcional. La única diferencia respecto a un desarrollador humano es que los comentarios son excesivamente didácticos y el CVSS score está inventado.
En la tercera fase, el atacante prueba el PoC en entornos controlados, eventualmente usa herramientas agénticas como OpenClaw para automatizar la validación, y prepara el payload final. Todo en horas, no en semanas. APT45 de Corea del Norte usa exactamente esta cadena: miles de prompts repetitivos que analizan CVE en paralelo y validan PoC de forma automática. El coste operativo baja, la escala aumenta. Para entender cómo esta dinámica se entrelaza con los agentes de IA que ya operan de forma autónoma en el ámbito crypto, el punto de conexión es LiteLLM.
LiteLLM, wallets crypto y el riesgo que muchos no han considerado
LiteLLM es la librería que conecta las aplicaciones de software con los proveedores de modelos de IA. Si utilizas un agente de IA que gestiona un exchange, un wallet, un monitor de cartera o cualquier sistema que interactúe con API crypto, existe una probabilidad real de que LiteLLM esté en el medio.
TeamPCP la comprometió en marzo de 2026 mediante paquetes PyPI envenenados. El credential stealer SANDCLOCK extrajo claves AWS y tokens GitHub directamente desde los entornos de build. Quien había integrado la versión comprometida de LiteLLM en sus sistemas pudo haber expuesto las API keys de exchanges, los webhooks y cualquier secreto configurado en el entorno de CI/CD. GTIG lo describe como el patrón emergente: los modelos frontier son difíciles de comprometer directamente. Los conectores, wrappers y capas API que los rodean, no. Para quienes gestionan agentes de IA que realizan pagos autónomos en crypto, la cadena de suministro de dependencias de IA se ha convertido en parte de la superficie de ataque tanto como el propio wallet.
El 7 de mayo, el FMI publicó una declaración explícita: la ciberseguridad en la era de la IA es una cuestión de estabilidad financiera sistémica, no solo un problema técnico que delegar a los departamentos de IT. El NIST ya ha estandarizado los primeros algoritmos post-cuánticos. Google usa Big Sleep y CodeMender para encontrar y parchear vulnerabilidades de forma automática antes de que lo hagan los atacantes. La próxima actualización del GTIG AI Threat Tracker, basada en datos del tercer trimestre de 2026, reflejará cuánto ha crecido la capacidad ofensiva desde mayo. Hultquist ha dicho que la espera como un dato que cambiará el debate. La partida comenzó antes de lo que nadie esperaba.
