El Grupo de Inteligencia de Amenazas de Google (GTIG) publicó un informe preocupante el 11 de mayo: los hackers vinculados a estados y los actores criminales ahora están utilizando la IA a escala industrial. Por primera vez, el grupo detectó un exploit de día cero que, según cree, fue desarrollado con asistencia de IA. Y un nuevo malware llamado PROMPTSPY puede observar tu flujo de autenticación y eludir la autenticación de dos factores en tiempo real. El mensaje para los usuarios de criptomonedas es contundente: la autenticación de dos factores estándar ya no es suficiente.
Primer exploit de día cero asistido por IA
GTIG afirma que identificó a un actor de amenazas utilizando un exploit de día cero que casi con certeza fue creado con IA generativa. El exploit estaba planeado para un evento de explotación masiva, pero un contra-descubrimiento proactivo pudo haber impedido su despliegue. El informe no nombra la vulnerabilidad específica ni el actor detrás de ella, pero marca un punto de inflexión. En febrero de 2026, GTIG describió la actividad adversaria asistida por IA como incipiente y experimental. Ahora la evaluación es que los modelos generativos están integrados en los flujos de trabajo ofensivos a gran escala.
PROMPTSPY: malware que observa tu autenticación
El informe detalla una capacidad llamada PROMPTSPY: malware habilitado por IA que interpreta dinámicamente los estados del sistema y genera comandos en tiempo real para manipular los entornos de las víctimas. Entre sus características más alarmantes: la capacidad de realizar ataques de sincronización contra la autenticación de dos factores basada en SMS y aplicaciones durante sesiones en vivo. Esto significa que un usuario podría ingresar un código 2FA y el malware intercepta o secuestra la sesión antes de que el código llegue al servicio previsto. El malware polimórfico que se reescribe a sí mismo para evitar la detección también se ha vinculado a actores de amenazas sospechosos de tener vínculos con Rusia.
Por qué la autenticación de dos factores estándar no es suficiente
El hallazgo de GTIG desafía directamente la suposición de que un código de un solo uso o una notificación push proporcionan seguridad adecuada. Si el malware puede observar y responder a los flujos de autenticación a medida que ocurren, el segundo factor se convierte en una responsabilidad en lugar de un escudo. El informe recomienda llaves de seguridad de hardware, dispositivos de firma aislados y arquitecturas de billetera multifirma para usuarios de criptomonedas. Estos métodos no dependen de un código observable en la red que pueda ser interceptado en tiempo real.
El informe también señala que actores vinculados a estados asociados con China y Corea del Norte han mostrado un interés significativo en usar IA para el descubrimiento de vulnerabilidades. Esto sugiere que el canal de exploits de día cero probablemente se acelerará. Para cualquiera que posea criptomonedas o administre cuentas sensibles, la ventana para actualizar más allá de la autenticación de dos factores basada en SMS se ha acortado considerablemente.
