Tornar al blog
12 de maig del 20266 min de lectura

IA ofensiva: el primer zero day per eludir el 2FA amb IA marca un nou punt d’inflexió

IA ofensiva: el primer zero day per eludir el 2FA amb IA marca un nou punt d’inflexió

La intel·ligència artificial (IA) està canviant ràpidament el marc tecnolòmic. Si el seu potencial a favor és enorme, la dimensió ofensiva en ciberseguretat és una realitat que ja hem d’afrontar. Recentment, Google ha posat sobre la taula un cas especialment preocupant: l’explotació d’una vulnerabilitat de dia zero (zero day) per eludir l’autenticació de dos factors (2FA), aparentment desenvolupada amb assistència d’IA. Aquest incident no només es presenta com el primer bypass de 2FA de dia zero conegut creat amb IA per a una explotació massiva, sinó que també subratlla la urgència que les organitzacions revalorin la seva estratègia de ciberseguretat.

El cas: un zero day amb empremta d’IA

L’equip Google Threat Intelligence Group (GTIG) va descobrir que un actor de amenaça desconegut va fer servir un exploit de dia zero per eludir el 2FA en una eina popular d’administració de sistemes basada en web i de codi obert. El que fa especialment alarmant el cas és l’elevada confiança de GTIG que la IA va ser clau en el descobriment i la weaponization d’aquesta vulnerabilitat. Encara que no es va identificar un model concret (sense evidència de Gemini en aquest cas), tretes del codi com docstrings didàctics molt detallats, un estil “Pythonic” molt marcat i una puntuació CVSS “al·lucinada” apunten fortament a intervenció d’un model de llenguatge gran (LLM).

La vulnerabilitat, en si mateixa, era una fallada lògica semàntica de nivell alt, derivada d’una suposició de confiança codificada al sistema. Aquests són exactament els tipus de problemes que els LLM, amb capacitat per analitzar grans volums de codi i patrons, detecten amb facilitat. Identificar i explotar aquestes sutileses accelera dràsticament els terminis de desenvolupament d’exploits, i deixa els defensors corrent contra el rellotge.

Riscos i reptes de la IA ofensiva

Aquest incident il·lustra diversos riscos emergents per a les empreses:

  • Acceleració de la weaponization de vulnerabilitats: la IA pot reduir temps i esforç per identificar, validar i weaponitzar fallades. Això dóna menys marge als equips de seguretat per aplicar parcs i mitigar abans de l’explotació.
  • Més atacs de dia zero: la capacitat de la IA per trobar errors complexos o subtils que un analista humà podria pasar per alt pot incrementar els incidents de dia zero, eixamplant la superfície d’atac i el risc en sistemes que abans es consideraven segurs.
  • Malware polimòrfic i autònom: més enllà de l’explotació directa, la IA ja s’usa per a malware polimòrfic i operacions autònomes, com va mostrar PromptSpy, un malware d’Android que abusa de Gemini per accions complexes i per evadir la detecció.
  • Enginyeria social amb IA i automatització: els actors d’amenaça usen IA per tasques «de productivitat» com recerca, generació de continguts i localització, cosa que pot augmentar l’eficàcia i l’escala de les campanyes d’enginyeria social. L’automatització d’altes a comptes premium de LLM per eludir límits d’ús també és un focus de preocupació, perquè permet abús a gran escala de capacitats d’IA.
  • Risc a la cadena de subministrament d’IA: els entorns d’IA es converteixen en objectius. Qui compromet aquests sistemes pot identificar, recollir i exfiltrar informació sensible a escala, o fer reconeixement per avançar més a la xarxa.
  • Mercats grisos i confiança en models: l’accés a models via APIs de retransmissió (relay) planteja riscos de substitució de model i exposició a problemes de seguretat i ètica. Aquests serveis també poden registrar prompts i respostes, exposant dades empresarials sensibles.

Continuïtat de negoci i seguretat empresarial

Per a les organitzacions, la lectura més directa és que les defenses tradicionals poden deixar de ser suficients. El 2FA, sovint vist com una barrera sòlida, ha estat eludit. Cal revisitar la confiança implícita en certs controls. L’exposició prèvia de credencials vàlides abans d’un atac de bypass de 2FA segueix sent un vector crític i reforça la necessitat d’un IAM més estricte i una higiene de credencials impecable.

El risc d’interrupció operativa, pèrdua de dades sensibles, impacte reputacional i pèrdues financeres creix amb la sofisticació dels atacs assistits per IA. Cal anticipar un futur en què els atacants disposin d’eines cada cop més potents i automatitzades.

Estratègies de defensa en l’era de la IA ofensiva

Davant d’aquest escenari, les empreses han de reforçar la postura amb un enfocament proactiu i multifacetat. A ITCS VIP entenem aquesta complexitat i oferim serveis per reduir aquests riscos:

  1. Auditories contínues i proves de penetració: com més ràpid es descobreixen i exploten vulnerabilitats, més crítics són els cicles d’auditoria i pentesting. Això ha d’incloure escenaris amb MFA per detectar possibles vies de bypass. El nostre equip pot simular atacs avançats, inclosos mètodes assistits per IA, i trobar debilitats abans que ho facin els atacants.

  2. Enduriment i configuració segura: cal reduir la superfície d’atac amb hardening, especialment en actius crítics i eines d’administració. Això passa per configuracions segures, eliminar serveis innecessaris i aplicar el mínim privilegi. ITCS VIP ajuda a implementar bones pràctiques per protegir la infraestructura crítica.

  3. Monitorització i detecció avançada (MDR/XDR): molts atacs assistits per IA són subtils. Una vigilància 24/7 amb MDR/XDR ajuda a detectar patrons anòmals o conductes sospitoses que apunten a compromís. El nostre servei gestionat de monitorització i resposta aporta visibilitat i capacitat de reacció.

  4. Resposta a incidents i plans de recuperació: algun incident acabarà passant; per això cal un pla clar de contenció, erradicació i recuperació. A ITCS VIP ajudem a dissenyar i provar fluxos de resposta que minimitzin l’impacte.

  5. Gestió de vulnerabilitats i pegatges: amb la IA accelerant el descobriment de fallades, els cicles de pegat han de ser més àgils. Podem ajudar a estructurar programes sòlids de gestió de vulnerabilitats.

  6. Formació i conscienciació: el factor humà segueix sent crític. Cal formació contínua sobre enginyeria social moderna i sobre protecció de credencials per tancar els vectors inicials.

  7. Seguretat d’eines i APIs d’IA: si l’empresa usa o desenvolupa IA, cal avaluació rigorosa d’aquestes eines i de les seves APIs. Cal entendre riscos dels models i dependències externes, incloent la procedència dels models i APIs, i aplicar SDL als desenvolupaments d’IA.

Conclusió

Que els ciberdelinqüents facin servir IA per desenvolupar exploits de dia zero —especialment els que eludeixen controls com el 2FA— és un punt d’inflexió: ja no és només una amenaça futurista, sinó una realitat present. La capacitat ofensiva que aporta la IA obliga a respostes de seguretat més àgils, intel·ligents i resilients. Protegir-se en aquesta era exigeix tecnologia, però també experiència, processos disciplinats i una cultura proactiva de seguretat.

A ITCS VIP ajudem la vostra empresa a navegar aquest paisatge. Els nostres serveis de consultoria, auditoria i seguretat gestionada estan dissenyats per enfortir les defenses davant amenaçades emergents, sostenir la continuïtat de negoci i protegir els actius més valuosos. No espereu a ser el següent objectiu; actueu avui per blindar el futur digital.

Lectura recomanada