Alarma global: Un solo hacker logra infiltrarse en más de 600 redes usando Inteligencia Artificial

No necesitó vulnerabilidades complejas ni un equipo de expertos. Con un par de herramientas de IA comerciales y contraseñas débiles, un cibercriminal ha puesto en jaque la infraestructura de cientos de organizaciones en 55 países.

El cibercrimen acaba de cruzar un peligroso punto de inflexión. Durante años, hemos asociado los ataques a gran escala con grupos de hackers patrocinados por estados o sofisticadas bandas de  ransomware operando desde la clandestinidad. Sin embargo, un reciente reporte conjunto de Amazon Threat Intelligence y Cyber and Ramen ha desvelado una realidad mucho más inquietante: hoy en día, un atacante solitario con conocimientos técnicos limitados puede montar una operación global automatizada. ¿Su secreto? La ayuda de la Inteligencia Artificial.

Entre enero y febrero de este año, un actor malicioso de habla rusa y motivaciones económicas logró comprometer más de 600 dispositivos de seguridad FortiGate (firewalls y servidores VPN) repartidos en 55 países alrededor del mundo.

La «fábrica de hackeo» impulsada por IA

Lo más sorprendente del caso es que el atacante no tuvo que descubrir ni comprar ningún Zero-Day (vulnerabilidades desconocidas hasta el momento). Según apuntan los investigadores, su estrategia fue terriblemente sencilla: utilizar herramientas automatizadas para rastrear y localizar masivamente puertos de administración de FortiGate (443, 8443, 10443) que, por negligencia o error, estaban expuestos abiertamente a Internet.

Una vez localizados los objetivos, el intruso explotó un talón de Aquiles que la industria lleva años intentando erradicar: el uso de credenciales por defecto o contraseñas débiles, agravado por la falta de un Doble Factor de Autenticación (2FA).

Pero, ¿cómo logró una sola persona con habilidades «limitadas» procesar y atacar tal volumen de objetivos de forma simultánea? Integrando dos conocidos Modelos de Lenguaje Grande (LLMs) en su flujo de trabajo:

– DeepSeek: Actuaba como el «cerebro estratégico». La IA analizaba los datos de los escaneos previos, interpretaba las configuraciones de los equipos vulnerables y trazaba los vectores de ataque de forma casi autónoma.

– Claude (de Anthropic): Funcionaba como un «ingeniero de software en la sombra». Durante la fase de intrusión, este modelo se encargaba de evaluar vulnerabilidades en tiempo real y, mediante un servidor personalizado, escribía y ejecutaba el código necesario para avanzar en el ataque.

Los analistas describen este montaje como una auténtica «línea de ensamblaje para el cibercrimen».

Objetivo: Servidores y Ransomware

El impacto de esta campaña se ha sentido en todos los rincones del planeta: desde Norteamérica y Latinoamérica hasta Europa, Asia y África.

El  modus operandi  posterior a la brecha inicial confirma las intenciones lucrativas del atacante. Una vez dentro de la red a través de la VPN comprometida, las herramientas automatizadas desplegaban Nuclei para escanear en profundidad el entorno interno. Su objetivo final era claro: adueñarse de los controladores de dominio (Active Directory) y, sobre todo, infiltrarse en los servidores de copias de seguridad —específicamente entornos de Veeam Backup & Replication—, una maniobra clásica antes de desplegar un ataque de  Ransomware  para impedir que las víctimas puedan restaurar sus datos sin pagar.

El problema no es la IA, son los básicos de seguridad

«Las capacidades que antes estaban fuera del alcance de actores novatos son cada vez más factibles», advierte el informe. Sin embargo, este incidente nos deja una lección fundamental: la IA de los atacantes solo funciona si nosotros hacemos mal nuestro trabajo de defensa.

Si tu organización utiliza tecnología Fortinet (o cualquier otra marca de infraestructura de red), las medidas preventivas no son complejas, pero sí innegociables:

Cierra las puertas públicas: Ocultar los paneles de administración y evitar que estén indexados o accesibles libremente desde cualquier IP externa es el paso principal.

El 2FA ya no es opcional: La caída de estos 600 dispositivos fue posible por confiar en contraseñas simples. El Doble Factor de Autenticación en las VPNs y paneles de gestión debe ser estricto.

Audita tus credenciales: Cambiar las claves por defecto de fábrica y aplicar políticas de contraseñas robustas es una obligación ineludible.

Aisla tus salvavidas: Los servidores de copias de seguridad (como Veeam) jamás deben estar expuestos en la red general. Su aislamiento es la última línea de defensa contra una extorsión.

 

Fdo. Lautaro Enrique
C4E Friend I Security Analist & Networking
LINKEDIN