Investigadores en ciberseguridad han encendido una luz de alarma sobre una nueva forma en que los asistentes de inteligencia artificial pueden ser abusados: convertir sus capacidades de navegación web o recuperación de URLs en canales silenciosos de mando y control (C2) que se mezclan con el tráfico legítimo de una empresa. La técnica, probada por los investigadores contra servicios como Microsoft Copilot y xAI Grok, ha sido documentada por Check Point bajo el nombre “AI as a C2 proxy”.
El núcleo del problema es sencillo y a la vez inquietante: cuando un asistente de IA puede acceder a la web o recuperar contenido desde una URL, ese comportamiento legítimo se puede reconducir para transportar instrucciones maliciosas y exfiltrar datos. Un equipo de atacantes primero debe haber comprometido una máquina —mediante phishing, una vulnerabilidad sin parchear o cualquier otro vector clásico— e instalar un software malicioso que invoque al asistente de IA con indicaciones diseñadas para que éste recupere contenido desde infraestructura controlada por el atacante. La respuesta que el asistente ofrece puede contener comandos o fragmentos de código que el malware ejecuta localmente, cerrando así un canal de mando bidireccional que resulta difícil de distinguir del tráfico autorizado.
La amenaza no se limita a ejecutar órdenes puntuales; los investigadores advierten que el mismo eje puede usarse como un motor de decisiones externo. El atacante puede enviar información del sistema comprometido al modelo y pedir no solo comandos, sino también estrategias de evasión, pasos de reconocimiento adicionales o la decisión sobre si merece la pena seguir explotando ese equipo. En otras palabras, la IA puede actuar como una capa adicional de automatización y toma de decisiones para campañas más sofisticadas, acercándonos a lo que los expertos llaman operaciones de C2 al estilo AIOps.
Lo que hace especialmente problemática esta técnica es que, en las pruebas descritas, no se requiere una clave de API ni una cuenta registrada. Eso implica que las respuestas maliciosas pueden circular a través de los endpoints de los servicios públicos sin pasar por credenciales controladas por la víctima o el proveedor, lo que limita la efectividad de mitigaciones tradicionales como la revocación de claves o la suspensión de cuentas.
Este abuso de servicios de confianza recuerda otras modalidades que los atacantes han usado durante años para ocultar sus actividades dentro de canales legítimos —una familia de técnicas a la que se ha denominado living off trusted sites (LOTS)—. No es un fenómeno aislado: semanas antes, el equipo Unit 42 de Palo Alto Networks demostró cómo una página web aparentemente inofensiva puede consultar un modelo de lenguaje en tiempo real para generar JavaScript malicioso que se ensambla y ejecuta en el cliente, permitiendo crear páginas de phishing dinámicas. El informe de Unit 42 sobre este método está disponible en su sitio: Real-time malicious JavaScript through LLMs.
Hay además similitudes conceptuales con las llamadas técnicas de “Last Mile Reassembly” (LMR), donde el atacante envía fragmentos de malware a través de canales no monitorizados (por ejemplo, WebRTC o WebSocket) y los recompone en el navegador de la víctima, evitando controles de seguridad de la red. Un análisis de LMR puede consultarse en esta exploración técnica, y sirve como recordatorio de que los vectores que mezclan comportamiento legítimo y ensamblaje en tiempo de ejecución son difíciles de mitigar si los controles se centran únicamente en la firma o en la reputación del dominio.
¿Qué significa esto para empresas y administradores de seguridad? Primero, que los modelos de IA y sus capacidades de navegación no son meras herramientas de productividad: son nuevos servicios en la red que requieren gobernanza y controles específicos. Blindar el perímetro clásico ya no es suficiente si los atacantes pueden hacer que sus comunicaciones viajen por rutas que parecen legítimas. Para afrontar este reto conviene combinar medidas técnicas y políticas: limitar la capacidad de navegación de los asistentes de IA en entornos sensibles, aplicar controles de egress que registren y permitan auditar llamadas a servicios de modelos de lenguaje, y usar segmentación de red para reducir el alcance de un equipo comprometido. Además, los controles en el endpoint deben evolucionar para identificar comportamientos sospechosos —como procesos que invocan interfaces web de IA y luego ejecutan comandos recibidos— y no depender únicamente de la detección por firmas.
En el plano de la prevención, la adopción de listas de permitidos (allowlists) para dominios o APIs críticas, la supervisión de los registros DNS y la correlación entre actividad de modelos de IA y telemetría del endpoint pueden ayudar a detectar anomalías. Las organizaciones también deben exigir a los proveedores de soluciones de IA mayor transparencia y mecanismos que limiten usos anómalos, como autenticación más estricta para capacidades de navegación, límites en la descarga de contenido arbitrario y mecanismos de trazabilidad que permitan a los equipos de seguridad investigar incidentes. Por su parte, las políticas internas deberían definir claramente qué asistentes de IA están autorizados y con qué permisos; en entornos de alto riesgo, puede ser preferible deshabilitar la función de búsqueda/browsing en los asistentes corporativos.
La comunidad de seguridad ya afronta escenarios similares desde otras ópticas: MITRE y los marcos de amenaza describen técnicas donde los adversarios reutilizan herramientas legítimas del entorno para su beneficio, lo que refuerza la idea de que la detección basada solo en la reputación es insuficiente (véase MITRE ATT&CK sobre living-off-the-land). Al mismo tiempo, los hallazgos de organizaciones como Check Point y Unit 42 muestran que la frontera entre servicios “confiables” y canales de ataque se está volviendo borrosa.
En resumen, estamos ante una nueva capa de riesgo donde los modelos de IA pueden servir tanto para acelerar ataques como para camuflarlos. No es un apocalipsis tecnológico, pero sí un llamado a actualizar prácticas de defensa, gobernanza y educación. Tratar a los asistentes de IA como un nuevo tipo de servicio de red, con controles, monitoreo y políticas claras, será clave para evitar que se conviertan en relés inadvertidos de campañas maliciosas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...