BrunoP.Blog
Noticia 5 min de lectura 226

Google detectó el primer zero-day creado por IA en un ataque real — qué cambia para quienes tienen un sitio

Google Threat Intelligence reportó algo sin precedentes: un grupo usó IA para encontrar y explotar un zero-day en SQLite en un ataque real. La IA no fue el atacante — fue el acelerador. La ventana entre que aparece una vulnerabilidad y se explota se redujo. ¿Qué cambia en la práctica?

Hay una frase que repetíamos en seguridad como hipótesis: “algún día la IA va a escribir exploits sola”. Bueno — dejó de ser hipótesis. En mayo, Google reportó (con la noticia confirmada por Bloomberg) el primer caso conocido de un zero-day construido con ayuda de IA y usado en un ataque real.

Qué pasó

Según el grupo de inteligencia de amenazas de Google (GTIG), un grupo cibercriminal con motivación financiera usó un modelo de IA de frontera para desarrollar un exploit funcional — un bypass de autenticación en dos pasos (2FA) en una herramienta open-source popular de administración web. La intención era un “evento de explotación masiva”: atacar muchos objetivos a la vez. Fue frenado a tiempo — Google dice que su “descubrimiento proactivo” pudo haber evitado el uso.

Dos detalles importan: Google no cree que haya sido Gemini, pero tiene alta confianza de que un modelo de IA apoyó el descubrimiento y la “weaponización” de la falla. Y su lectura sobria: la IA está acelerando flujos de ataque que ya existían — no inventando técnicas nuevas. Actores estatales (China, Corea del Norte) también están atentos.

Por qué cambia el juego si tenés un sitio

La defensa no cambió de naturaleza — cambió de reloj. El ciclo “se divulga una falla → alguien escribe el exploit → el ataque corre por internet” siempre tuvo una ventana. Con IA en manos del atacante, esa ventana se achicó. Lo que antes tardaba semanas puede tardar días u horas.

Y mirá el objetivo: un bypass de 2FA. Esa sensación de “activé el 2FA, estoy seguro” es justo la que cae primero. El 2FA es una gran capa — no es un escudo mágico.

Qué hacer (sin pánico, con método)

  • Acortá tu ventana de patch. La puerta nº 1 sigue siendo software desactualizado. Si actualizás “cuando se puede”, ahora cuesta más caro. Tené un inventario de lo que corre en tu sitio y un ritmo de actualización.
  • Defensa en capas. 2FA + contraseña fuerte + WAF + permisos mínimos + backup probado. Cuando una capa cae (como cayó el 2FA acá), las otras sostienen.
  • Monitoreá. La mayoría de los ataques automatizados es ruidosa — picos de intentos de login, requests raras. Quien mira, lo nota.
  • Usá la IA de tu lado también. La misma palanca que ayuda al atacante ayuda a la defensa: triaje de logs, revisión de código, escaneo de dependencias. Google frenó este ataque, en parte, con IA defensiva.

Si tenés un sitio, vale revisar la guía de seguridad de sitios — cubre lo básico que frena el 90% de los ataques automatizados. Y para no perder de vista “qué necesita patch”, es justo el problema que resuelve VulnGuard.

Ver la demo de gestión de vulnerabilidades

Preguntas frecuentes

¿La IA ya hackea sola? Todavía no — el caso muestra IA como palanca (aceleró a un grupo humano), no como atacante autónomo. El propio Google dice que acelera flujos existentes, no inventa técnicas. El efecto es velocidad: la ventana de explotación se achicó.
¿Qué hago? Lo básico, con urgencia: mantené todo actualizado, defensa en capas (el 2FA no es mágico — acá cayó un bypass de 2FA), monitoreá y tené inventario de lo que necesita patch.

Fuentes: Bloomberg, SecurityWeek, IT Pro (Google Threat Intelligence Group, mayo de 2026).

Sigue leyendo

News

Hackers de Corea del Norte envenenaron 140+ paquetes npm de un framework de IA — el ataque Mastra y qué enseña

Guía

Cómo evitar el spam en formularios sin CAPTCHA (Honeypot y Time-trap)

Proyecto

Cómo saber si tu contraseña es realmente fuerte (la matemática que los 'consejos' ignoran)