Se habla mucho de la IA como arma de los atacantes. Este caso va del otro lado. Microsoft dice que su IA Copilot ayudó a desmantelar dos de las herramientas de cibercrimen más usadas, Amadey y StealC, cortando la infraestructura que compartían. Lo adelantó Bloomberg.
Puntos clave
- Los investigadores usaron Copilot para analizar el malware preguntando en lenguaje normal, en vez de revisar código complejo a mano. Lo que habría tardado horas o días se resolvió en minutos.
- Solo en las dos primeras semanas de mayo, Amadey y StealC se vincularon a más de 140.000 ordenadores infectados en todo el mundo.
- Desde el inicio de la operación, Microsoft ha identificado más de 18.000 ordenadores víctima y cortado el control criminal sobre ellos.
- El cambio de estrategia es lo interesante: en vez de atacar una familia de malware cada vez, se atacó la infraestructura compartida que permitía que varias herramientas trabajaran juntas. Eso dejó reunirlo todo en una sola demanda bajo la ley RICO.
Cómo lo hicieron
La parte interesante es el método. Amadey y StealC son dos programas de robo de datos que se venden y usan por separado, y a simple vista parecían operaciones distintas. Los investigadores de Microsoft usaron Copilot para analizar el código de cada uno preguntando en lenguaje normal, en vez de descifrar a mano miles de líneas complejas. Así encontraron que compartían infraestructura por debajo. Ese hallazgo es lo que les permitió cambiar de táctica: en vez de perseguir cada malware por su lado, atacaron la fontanería común que los dos usaban, y meterlo todo en una sola demanda bajo la ley RICO, la que se usa contra el crimen organizado.
Los números de la operación
La escala explica por qué importa el caso. Solo en las dos primeras semanas de mayo, Amadey y StealC se vincularon a más de 140.000 ordenadores infectados en todo el mundo. Desde que arrancó la operación, Microsoft dice haber identificado más de 18.000 equipos víctima y haber cortado el control que los criminales tenían sobre ellos, trabajando con operadoras de telecomunicaciones para proteger a los afectados. No es una demo de laboratorio, es una redada real con cifras encima de la mesa, y la IA fue la que aceleró la parte lenta: entender el malware.
La otra cara
Sería ingenuo contar solo la parte buena. La misma capacidad que ayuda a Microsoft a diseccionar un malware en minutos sirve a un atacante para escribirlo más rápido. Los modelos de IA no eligen bando, aceleran a quien los use. Lo que enseña este caso es que la defensa, que solía ir por detrás, ahora tiene la misma palanca que el ataque. Durante años el defensor jugaba en desventaja: tenía que revisar a mano un código diseñado para esconderse. Con la IA analizando en lenguaje normal, ese trabajo lento se acorta, y por primera vez en mucho tiempo el que defiende puede ir al ritmo del que ataca. No gana la guerra, pero deja de correr descalzo.
Por qué importa
Es un ejemplo concreto de la IA como herramienta defensiva, no como amenaza. La parte que se suele pasar por alto de la ciberseguridad es la analítica: entender cómo funciona un malware, cruzar pistas, encontrar el hilo que conecta dos cosas que parecían separadas. Eso es leer y razonar sobre montañas de datos, justo donde un modelo de IA acelera de verdad. Para cualquier empresa, la lectura es doble. Por un lado, los mismos modelos que asustan por lo que pueden hacer en las manos equivocadas están ya reforzando la defensa. Por otro, marca cómo se van a investigar los ataques a partir de ahora: preguntando al código en lenguaje normal en vez de descifrarlo a mano.
Relacionado


