Un informe reciente de investigación vuelve a encender las alarmas sobre cómo las herramientas de seguridad abiertas y potentes pueden terminar siendo reutilizadas por actores maliciosos. Expertos de Team Cymru han relacionado la plataforma de pruebas de seguridad con inteligencia artificial llamada CyberStrikeAI con la infraestructura utilizada en una campaña que comprometió cientos de cortafuegos Fortinet FortiGate a principios de 2026, y las implicaciones son profundas: una herramienta diseñada para automatizar auditorías puede facilitar ataques automatizados a gran escala.
El equipo liderado por Will Thomas (conocido como BushidoToken) publicó un análisis en el que muestra que una dirección IP asociada a la campaña contra FortiGate estaba ejecutando un servicio identificado como CyberStrikeAI en el puerto 8080, y que había tráfico entre esa IP y dispositivos Fortinet que fueron objetivo de la intrusión. Puedes leer el reporte de Team Cymru aquí: Tracking CyberStrikeAI usage. Esa misma actividad fue la que meses atrás describió también BleepingComputer al detallar el incidente masivo contra FortiGate.
CyberStrikeAI es de código abierto y su repositorio público describe una plataforma «nativa de IA» desarrollada en Go que integra más de un centenar de herramientas tradicionales de seguridad. En su página de GitHub el proyecto explica cómo combina escáneres de red, analizadores web, frameworks de explotación, herramientas de crack de contraseñas y utilidades post-explotación con un motor de decisión basado en modelos de lenguaje y agentes automáticos. El repositorio del desarrollador aparece bajo el alias Ed1s0nZ en GitHub, donde se pueden ver también otros proyectos de su autoría orientados a la búsqueda de privilegios y escalada automatizada.
La potencia del proyecto radica en la orquestación: combinar herramientas maduras como nmap, masscan, sqlmap o metasploit con agentes de IA y un coordinador que convierta comandos conversacionales en cadenas de ataque completas reduce drásticamente la barrera técnica para llevar a cabo operaciones complejas. Team Cymru encontró 21 direcciones IP diferentes ejecutando instancias de CyberStrikeAI entre el 20 de enero y el 26 de febrero de 2026, principalmente alojadas en China, Singapur y Hong Kong, con presencia adicional en EE. UU., Japón y Europa.
Más allá de la ingeniería, los investigadores también analizaron el trasfondo del desarrollador. El perfil público del autor muestra actividad vinculada a otros proyectos de IA para seguridad —PrivHunterAI e InfiltrateX entre ellos— y, según Team Cymru, existieron interacciones con organizaciones que han sido señaladas anteriormente como relacionadas con operaciones afines al Estado chino. En diciembre de 2025 el creador presentó CyberStrikeAI en el «Starlink Project» de Knownsec 404; Knownsec es una firma china con supuestos vínculos gubernamentales que ha sido objeto de reportes, como el análisis publicado por DomainTools: The KnownSec leak. Además, la mención pública del desarrollador a una recompensa del CNNVD fue eliminada del perfil más tarde; el CNNVD es la base de datos china de vulnerabilidades que algunos analistas han asociado con usos gubernamentales según reportes como el de Cyberscoop.
La convergencia de IA y herramientas de explotación plantea una disyuntiva ética y práctica. Por un lado, plataformas de este tipo pueden acelerar pruebas legítimas y mejorar la preparación defensiva al automatizar detección, análisis de cadenas de ataque y gestión de vulnerabilidades. Por otro lado, cuando caen en manos equivocadas o se usan desde infraestructuras controladas por actores hostiles, favorecen la automatización de ataques dirigidos contra dispositivos expuestos en el borde de la red, como cortafuegos, appliances VPN y equipos de acceso remoto, exactamente los objetivos observados en la campaña contra FortiGate.
Las consecuencias operativas son claras: el uso de orquestadores de IA permite a operadores con habilidades limitadas ejecutar campañas sofisticadas de reconocimiento, explotación y post-explotación sin necesidad de dominar cada herramienta por separado. Team Cymru advierte que esta dinámica puede incrementar la velocidad y el alcance de las campañas a medida que más actores adoptan motores de orquestación similares. El propio análisis del equipo describe la tendencia y sugiere que los defensores deben prepararse para un entorno en el que herramientas como CyberStrikeAI reduzcan significativamente el esfuerzo requerido para explotar redes complejas.
Esto no es un fenómeno aislado: tanto proveedores de seguridad como investigadores han alertado sobre el abuso de modelos generativos y plataformas comerciales de IA en actividades maliciosas. En informes recientes la industria ha documentado cómo personas y grupos recurren a modelos avanzados para automatizar fases del ataque —desde la ingeniería social hasta la generación de scripts de explotación— amplificando así la capacidad de actores con pocos recursos. Por eso, además del análisis técnico, es imprescindible incorporar medidas organizadas de respuesta y mitigación.
En la práctica, la defensa debe combinar monitoreo de red con controles de exposición en el perímetro, gestión estricta de credenciales y una gobernanza clara sobre la telemetría y los accesos administrativos. Los equipos de seguridad necesitan contar con visibilidad de tráfico anómalo, registros de auditoría íntegros y procesos para detectar servicios no autorizados, como paneles web protegidos por contraseña o servidores de orquestación que no forman parte del inventario oficial. Del mismo modo, actualizar y parchear dispositivos de borde sigue siendo esencial para cerrar vectores que estas plataformas automatizadas explotan.
La lección que deja este caso es doble: las capacidades que aporta la IA a la ciberseguridad son enormes y pueden ser muy beneficiosas cuando se usan con responsabilidad, pero esa misma potencia incrementa el daño cuando se aplica con fines ofensivos. Para profundizar en la investigación de Team Cymru y contrastar los hallazgos, puedes consultar su reporte en: Tracking CyberStrikeAI usage, así como la cobertura periodística sobre la campaña FortiGate en BleepingComputer y el repositorio del proyecto en GitHub.
La discusión pública y técnica debe avanzar en dos direcciones: promover marcos que faciliten el uso responsable de estas plataformas en pruebas legales y consensuadas, y al mismo tiempo desarrollar contramedidas que dificulten su abuso. Si la industria, las empresas y los responsables de políticas logran coordinarse, será posible aprovechar las virtudes de la automatización sin entregar a los atacantes una fábrica de ataques a gran escala.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...