Guillem Alsina Gonzàlez
Apenas esta misma semana conocíamos que la información técnica incluida en los boletines que comunican los agujeros de seguridad que se van hallando en sistemas operativos y aplicaciones, puede ser aprovechada mediante inteligencia artificial para generar el código fuente de un exploit practicable en tan solo unos minutos. Ahora, Trend Micro (firma dedicada al ámbito de la ciberseguridad) pone en cuestión la información misma que se hace pública de una vulnerabilidad cuando esta es hallada.
Las compañías de ciberseguridad publican, de manera habitual, estos análisis en profundidad de los incidentes, en los cuales detallan tácticas, técnicas y procedimientos de los atacantes, así como vulnerabilidades, mecanismos de entrega de malware y técnicas de evasión.
Desde Trend Micro indican que, si bien esta transparencia es útil para entender el panorama de amenazas y mejorar las defensas, también se ha convertido en un arma de doble filo. El balance que presenta el informe es que los beneficios para los defensores superan los riesgos, pero los atacantes consumen estos contenidos y aprenden de ellos para evolucionar sus técnicas y ataques.
Para comprobar hasta dónde llega ese riesgo, el equipo realizó un experimento de vibe coding —generación asistida por IA a partir de descripciones textuales— que replicó capacidades del actor Earth Alux con un LLM y herramientas de desarrollo, logrando código que imitaba patrones de comunicación y componentes como el backdoor VARGEIT y RAILLOAD.
La prueba se ejecutó con Claude 4 Opus junto a Visual Studio Code y Cline; la primera versión se generó en Python y posteriormente se reescribió en C. Según el análisis, sortear las barreras de creación de malware fue viable usando modelos sin censura disponibles públicamente, aunque el código resultante no era plenamente funcional sin una cierta pericia técnica para finalizarlo.
Atribución bajo presión
El trabajo subraya que la documentación pública de campañas —por ejemplo, descripciones de familias de malware, flujos de comando y control o técnicas de persistencia— puede convertirse en una “receta” para campañas imitadoras y banderas falsas que confundan la atribución cuando esta se basa únicamente en TTP o en indicadores de compromiso.
La atribución consiste en dictaminar qué grupo de ciberdelincuentes ha cometido un ataque, basándose en las evidencias que estos dejan durante sus acciones, algo así como la investigación de un caso por parte de la policia.
La facilidad que introduce el vibe coding permite reducir las barreras de entrada y permite a perfiles sin gran formación técnica construir piezas de código funcional hasta cierto punto, a partir de instrucciones en lenguaje natural.
El informe recuerda que la atribución ya era compleja por prácticas como la reutilización de componentes o de infraestructura, el mimetismo de TTP, el uso de artefactos engañosos y las técnicas de living off the land. La adopción temprana de IA y LLM por parte de algunos grupos APT, junto con herramientas de prototipado rápido basadas en texto, refuerza esta tendencia y exige métodos de análisis más estructurados.
De acuerdo con las conclusiones, la respuesta no pasa por frenar la publicación de los boletines que, de otra manera, constituyen herramientas útiles para los equipos de defensa. Por lo tanto, desde Trend Micro proponen adaptar la forma de publicar para considerar el potencial mal uso mediante IA, y reforzar metodologías de atribución avanzadas, con marcos como el Diamond Model y un mayor peso de la intención, objetivos y selección de víctimas en el análisis.
