Google ha confirmado que atacantes utilizaron inteligencia artificial para crear un exploit de día cero capaz de evadir la autenticación de dos factores. La revelación, realizada por el equipo de seguridad de la compañía, marca uno de los primeros casos documentados en los que se empleó directamente la IA para construir una vulnerabilidad previamente desconocida.
El ataque impulsado por IA
Los investigadores señalaron que el exploit apuntaba a una falla en un sistema no revelado. A diferencia de los métodos de piratería tradicionales, los atacantes parecen haber utilizado modelos de aprendizaje automático para generar código que eludió las defensas existentes y engañó a los mecanismos de autenticación de dos factores. Google no especificó qué productos de autenticación se vieron afectados ni cuántos usuarios podrían haber sido impactados.
La autenticación de dos factores se considera ampliamente una capa crítica de seguridad. Al requerir un segundo paso de verificación —a menudo un código enviado al teléfono o generado por una aplicación—, está diseñada para detener a intrusos que hayan robado una contraseña. Este exploit dejó esa protección inútil.
Lo que está haciendo Google
La compañía dijo que ha parcheado la vulnerabilidad y está monitoreando intentos similares. No publicó detalles técnicos, citando el riesgo de ataques imitadores. Los equipos de seguridad dentro de Google están analizando ahora el código generado por IA para entender cómo se entrenó el modelo y qué datos utilizó.
La confirmación llega en un momento en que la industria de la seguridad lidia con la rápida evolución de las amenazas impulsadas por IA. Si bien los defensores han utilizado el aprendizaje automático durante años, este incidente muestra que los atacantes están adoptando las mismas herramientas para encontrar y explotar debilidades más rápido que antes.
Preguntas sin respuesta
No se sabe si los hackers fueron patrocinados por un estado o formaban parte de un grupo criminal. Google se negó a decir cuándo se descubrió el exploit o cuánto tiempo había estado activo. La compañía tampoco dijo si se robaron datos de clientes.
El caso plantea una pregunta más amplia: ¿cuántos exploits similares generados por IA ya existen sin ser detectados? Por ahora, los equipos de seguridad se quedan tratando de ponerse al día con una amenaza que puede evolucionar a velocidad de máquina.
