La llegada de herramientas de inteligencia artificial ha cambiado la ecuación en ciberataques: no siempre se trata de expertos sofisticados, sino de cómo la tecnología permite a atacantes con habilidades limitadas multiplicar su alcance. En un caso documentado por Expel y difundido por medios especializados, un conjunto de operadores asociado a Corea del Norte, etiquetado como HexagonalRodent, combinó asistentes de código y diseñadores web automáticos para montar una campaña que afectó a miles de objetivos y habría extraído hasta 12 millones de dólares en criptomonedas.
El modus operandi se apoyó en la ingeniería social: ofertas de empleo fraudulentas y pruebas técnicas infestadas de malware. Los atacantes generaron sitios falsos con herramientas comerciales y emplearon modelos de lenguaje para escribir código malicioso, anotaciones y materiales de reclutamiento. Parte de esa infraestructura quedó mal asegurada, exponiendo prompts, bases de datos de víctimas y señales que permitieron a los investigadores reconstruir la operación y vincular familias de malware como BeaverTail, OtterCookie e InvisibleFerret a la campaña.
Cómo funcionan los ataques
La táctica principal consistió en atraer a desarrolladores del ecosistema Web3 mediante anuncios y contactos directos en plataformas profesionales. Los operadores ofrecían puestos de trabajo bien remunerados y pedían completar una prueba técnica que, en apariencia, validaba aptitudes de programación. Al descargar y ejecutar ese examen infectado, la víctima activaba un credential-stealer que buscaba credenciales, llaves de acceso y, en algunos casos, rutas hacia los monederos digitales.
Muchos objetivos no tenían instaladas soluciones avanzadas de detección, por lo que la campaña logró penetrar equipos individuales que no contaban con EDR o políticas de seguridad estrictas.
Herramientas y señales de la campaña
Investigadores hallaron evidencia de uso de asistentes como ChatGPT de OpenAI, Cursor y servicios de diseño como Anima. El código analizado mostraba peculiaridades asociadas a generación automática: comentarios extensos en inglés, inserción de emojis dentro del código y patrones repetitivos que coinciden con salidas de modelos de lenguaje.
Además, las muestras revelaron que parte del malware fue escrita en NodeJS y Python, con funcionalidades desde robo de contraseñas hasta shells inversos, lo que facilitó el control remoto y la exfiltración de activos.
El papel del Estado y la escala operacional
Los informes de inteligencia y análisis forense apuntan a que estas campañas forman parte de una estrategia más amplia de actores vinculados al Estado norcoreano para financiarse y esquivar sanciones. A nivel organizativo, ese Estado combina programas de trabajadores de TI en el extranjero con unidades que desarrollan y operan malware. La incorporación de IA actúa como un multiplicador de fuerza: permite a operadores con formación limitada ejecutar tareas que antes requerían equipos técnicos especializados, y facilita el crecimiento en número de operadores sin elevar proporcionalmente el requisito de pericia técnica.
Técnicas complementarias
Además del uso directo de modelos para programar, las operaciones han explotado deepfakes y herramientas de manipulación de identidad para entrevistas falsas y creación de documentos. Proveedores de modelos como OpenAI y Anthropic han identificado y bloqueado cuentas vinculadas a abusos, y empresas de diseño han colaborado con investigadores para cortar accesos. Sin embargo, los actores adaptan sus flujos y a menudo mezclan soluciones comerciales con desarrollo propio, lo que complica la detección y mitigación.
Respuesta y lecciones para defensa
Las acciones inmediatas incluyen bloquear cuentas maliciosas, cerrar infraestructuras expuestas y alertar a potenciales víctimas; algunos proveedores han anunciado medidas para impedir usos indebidos de sus herramientas. En el plano técnico, las recomendaciones son claras: implementar EDR, exigir autenticación de múltiples factores con hardware tokens, verificar cuidadosamente procesos de contratación remota y someter pruebas técnicas a entornos controlados. La industria de seguridad debe priorizar la protección contra el uso operativo de IA por actores maliciosos, en lugar de solo vigilar escenarios hipotéticos de descubrimiento automático de vulnerabilidades.
Conclusión
El caso documentado por Expel y reportado por medios especializados demuestra que la inteligencia artificial ya es una herramienta práctica para ampliar capacidades de cibercriminales y actores estatales. Más que imaginar una amenaza futurista, la prioridad para empresas y proveedores es mitigar el abuso presente: mejorar detección, endurecer procesos de contratación y colaborar entre la industria y los desarrolladores de modelos para reducir el valor operativo de estas plataformas en manos equivocadas.
