El panorama de la ciberseguridad está experimentando una transformación sin precedentes con la aparición de malware con inteligencia artificial integrada. Esta nueva modalidad representa un cambio profundo respecto a usos anteriores, donde la IA servía principalmente como herramienta de soporte para tareas técnicas o de productividad. Ahora, el software malicioso empieza a incorporar IA directamente en su funcionamiento, lo que le permite adaptarse en tiempo real, modificar su comportamiento y generar código malicioso al vuelo.
Google Threat Intelligence Group (GTIG) ha identificado por primera vez familias de malware como PROMPTFLUX y PROMPTSTEAL, que utilizan modelos de lenguaje de gran escala (LLM) mientras se ejecutan. Esta característica les permite ocultar su código, esquivar sistemas de detección y generar nuevas funciones maliciosas bajo demanda. Es decir, no vienen ya programados con su carga maliciosa, sino que la crean según la situación, como un ladrón que cambia de táctica dependiendo de la cerradura que se encuentra.
Nuevas formas de evadir las barreras de seguridad
Uno de los aspectos más preocupantes que se destacan en el informe AI Threat Tracker es la manera en que los ciberdelincuentes están adoptando técnicas de ingeniería social aplicadas a los modelos de IA. En lugar de intentar romper las defensas por la fuerza, algunos atacantes simulan ser estudiantes o investigadores para manipular a los modelos generativos y obtener información sensible o bloqueada.
Estas prácticas, similares a las que se usan para engañar a personas reales, muestran que los atacantes han comprendido que la IA también puede ser engañada si se formula la petición de la manera adecuada. Esta estrategia subraya la necesidad de mejorar las barreras conversacionales y los filtros contextuales en los modelos de lenguaje, ya que los atacantes no siempre buscan vulnerabilidades técnicas, sino debilidades en el diseño del comportamiento de estas herramientas.
Un mercado negro de herramientas de IA cada vez más accesible
Otra de las alertas del informe de GTIG es la consolidación de un mercado negro de herramientas de inteligencia artificial dirigidas a actividades maliciosas. Estas herramientas no están sujetas a controles éticos ni salvaguardas técnicas, por lo que ofrecen a los ciberdelincuentes un entorno sin restricciones para ejecutar sus planes.
A diferencia del pasado, donde desarrollar malware o técnicas de phishing requería conocimientos avanzados, hoy existen aplicaciones específicas que automatizan estos procesos mediante IA. Esto permite que individuos con poca formación técnica puedan acceder a herramientas sofisticadas, rebajando la barrera de entrada al cibercrimen. Es como si alguien sin experiencia en cerrajería tuviera acceso a un kit automático que abre cualquier puerta.
El uso malicioso de Gemini y las operaciones patrocinadas por estados
Según el informe, actores respaldados por gobiernos como los de China, Corea del Norte, Irán y Rusia están utilizando IA, incluyendo modelos como Gemini, para reforzar todas las etapas de sus ataques: desde el reconocimiento inicial hasta la exfiltración de datos. Esta integración plena de la IA en el ciclo de vida del ciberataque plantea nuevos retos para la defensa.
Estos grupos actúan con motivaciones estratégicas y recursos sustanciales, lo que les permite experimentar con técnicas avanzadas sin las limitaciones que enfrentan actores individuales. La combinación de IA y ciberespionaje estatal está impulsando una carrera tecnológica en la que cada ventaja puede traducirse en influencia geopolítica.
La respuesta de Google y su enfoque preventivo
Ante este escenario, Google está redoblando sus esfuerzos para desarrollar una IA responsable y segura. La compañía no solo actúa de forma reactiva, cancelando cuentas y proyectos sospechosos, sino que también implementa medidas proactivas, como la mejora constante de sus clasificadores y la difusión de buenas prácticas a nivel sectorial.
Uno de los ejemplos concretos de esta estrategia es el refuerzo de las protecciones de Gemini, cuyo funcionamiento se detalla en el libro blanco «Advancing Gemini’s Security Safeguards». Con estas medidas, Google busca blindar sus herramientas frente a usos malintencionados y colaborar con la comunidad de seguridad para fortalecer el ecosistema digital en su conjunto.
Ciberseguridad en 2026: lo que se avecina según Google Cloud Security
En paralelo al informe de GTIG, Google Cloud Security ha dado a conocer sus pronósticos de ciberseguridad para 2026, donde destaca que la IA será tanto una amenaza como una aliada. Una de las proyecciones más destacadas es que el uso de inteligencia artificial por parte de los atacantes dejará de ser algo anecdótico para convertirse en una práctica común.
Esto incluye desde el desarrollo automático de malware hasta ataques de suplantación altamente realistas mediante IA generativa multimodal, combinando voz, texto y video para engañar a empleados y sistemas de seguridad. Imaginemos un correo con la voz clonada de un directivo pidiendo acceso urgente a un sistema: un escenario que pronto podría ser habitual.
El ransomware y las extorsiones seguirán siendo las amenazas más dañinas desde el punto de vista financiero, en gran parte por el uso de vulnerabilidades Zero-Day y ataques en cadena que afectan a múltiples proveedores. En paralelo, los actores estatales intensificarán sus campañas, cada uno con sus objetivos: desde Rusia, enfocada en intereses geopolíticos a largo plazo, hasta Corea del Norte, interesada en las criptomonedas para financiar su régimen.
Europa y la necesidad de anticiparse a la guerra híbrida
En la región EMEA, el informe alerta sobre una posible escalada de la guerra híbrida, donde los ataques digitales se complementan con operaciones de desinformación y sabotaje físico. Las infraestructuras críticas, como redes eléctricas o sanitarias, podrían convertirse en blancos prioritarios.
Al mismo tiempo, los marcos regulatorios sobre inteligencia artificial y ciberseguridad se volverán más estrictos y exigibles. Las organizaciones deberán adaptarse no solo para cumplir con la ley, sino también para protegerse en un entorno donde las amenazas evolucionan rápidamente.
Adoptar estrategias de defensa proactiva, invertir en la gobernanza de la IA y revisar continuamente la postura de seguridad ya no es una recomendación, sino una necesidad. Como si se tratara de reforzar una casa ante un huracán que ya se asoma en el horizonte.