Los investigadores de Amazon Threat Intelligence han documentado una campaña que demuestra con crudeza cómo la combinación de técnicas tradicionales y servicios comerciales de inteligencia artificial generativa puede amplificar la capacidad operativa de actores con conocimientos limitados. Según el informe publicado por AWS, entre el 11 de enero y el 18 de febrero de 2026 se detectó la intrusión de más de 600 dispositivos FortiGate en 55 países, una operación que no se basó en vulnerabilidades cero‑day, sino en una receta más prosaica: interfaces de gestión expuestas y credenciales débiles protegidas únicamente por autenticación de un solo factor. Amazon explica cómo la IA sirvió de multiplicador para un grupo pequeño y con limitadas capacidades técnicas.
Lo llamativo no es tanto la sofisticación técnica clásica del adversario, sino la arquitectura del ataque: un conjunto de herramientas comerciales de IA utilizadas para distintos momentos de la campaña —desde preparar código y planear movimientos hasta generar comandos— permitió a este actor “ponerse a escala” sin necesitar un gran equipo ni años de experiencia. El propio análisis de Amazon detectó artefactos públicos asociados a la operación, incluidos planes de ataque generados por IA, configuraciones de víctimas y código fuente de herramientas personalizadas. Esa infraestructura expuesta ofrecía una especie de línea de montaje automatizada, donde la IA proveía el músculo intelectual y el atacante la intención económica.
El modus operandi fue sistemático: escaneo masivo de puertos de gestión de FortiGate accesibles desde internet —puertos como 443, 8443, 10443 y 4443— seguido de intentos de acceso con credenciales comunes o reutilizadas. El tráfico de escaneo identificado se originó, según los registros recopilados, desde direcciones detectadas públicamente como potencialmente maliciosas, lo que permitió mapear la campaña y su alcance. Una vez dentro de un dispositivo FortiGate, el atacante podía extraer la configuración completa del equipo, con información sensible como credenciales, topología de red y parámetros administrativos, datos que luego facilitan movimientos internos y compromisos más profundos.
Amazon también documenta que el actor no se estancó en el perímetro: tras acceder a redes vía VPN y dispositivos FortiGate comprometidos, desplegó herramientas de reconocimiento —con versiones en Go y Python— que, según el análisis del código, muestran señales de haber sido asistidas por IA. El código presentaba comentarios redundantes que simplemente reiteraban el nombre de las funciones, arquitecturas simples con más preocupación por el formato que por la eficiencia, y parseos de JSON realizados mediante coincidencia de cadenas en lugar de deserialización robusta: rasgos típicos de código generado o ayudado por modelos de lenguaje.
La consecuencia práctica fue grave en varios casos. Los atacantes completaron fases de post‑explotación que incluyeron reconocimiento con herramientas como Nuclei, compromisos de Active Directory y extracción masiva de credenciales —incluyendo intentos de ejecutar ataques DCSync para replicar la base de datos de controladores de dominio—, maniobras que preparan el terreno para extorsiones o despliegue de ransomware. Organizaciones de sectores diversos y ubicadas en regiones tan variadas como Asia del Sur, América Latina, el Caribe, África Occidental y Europa del Norte fueron alcanzadas por clusters de dispositivos comprometidos.
Las técnicas de movimiento lateral descritas por los investigadores no reinventan el libro de jugadas de los atacantes: uso de pass‑the‑hash y pass‑the‑ticket, relés NTLM y ejecución remota de comandos en hosts Windows. Además, hubo un patrón específico de interés por servidores de respaldo: según el reporte, los atacantes trataron de dirigirse a servidores de Veeam Backup & Replication, intentando aprovechar fallos conocidos como CVE‑2023‑27532 y CVE‑2024‑40711, lo que encaja con un patrón clásico previo al despliegue de ransomware.
Un punto revelador del estudio es la elección pragmática del atacante: cuando topaban con defensas más duras —sistemas parcheados, puertos cerrados o vectores no explotables— preferían abandonar esa víctima y buscar objetivos más débiles. Esa conducta pone de manifiesto que la IA no está haciendo magia; lo que sí logra es convertir tareas que antes requerían pericia en procesos automatizados y repetibles, ampliando enormemente el número de “victorias fáciles” que un pequeño grupo puede obtener. En palabras de CJ Moses, CISO de Amazon Integrated Security, la operación parece ser obra de individuos con motivación económica que, gracias a la IA, alcanzaron una escala operativa que antes habría exigido un equipo mucho más grande y experimentado.
Estas conclusiones encajan con advertencias más amplias sobre el uso de modelos generativos por parte de cibercriminales. Organismos y empresas de seguridad mayores han señalado que la IA reduce el umbral de entrada para actores menos hábiles, permitiéndoles orquestar ataques más rápidamente y a mayor volumen. Informes de organizaciones como Microsoft y de agencias europeas sobre ciberseguridad han venido documentando tendencias similares: la IA acelera y simplifica muchas fases del ciclo de ataque sin necesidad de introducir técnicas radicalmente novedosas. Para ampliar contexto técnico y estratégico sobre amenazas relacionadas con IA, informes institucionales como el Digital Defense Report de Microsoft y publicaciones de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) son lecturas recomendables.
La lección defensiva que extraen los investigadores es, al mismo tiempo, clásica y urgente: la primera línea de resistencia sigue siendo la higiene básica de seguridad. Eso implica, por ejemplo, evitar exponer interfaces de administración a internet, sustituir credenciales por defecto o comunes, habilitar autenticación multifactor para accesos administrativos y VPN, y auditar cuentas y sesiones administrativas en busca de actividad no autorizada. También es crucial aislar servidores de copia de seguridad del resto de la red y mantener una política de parches rigurosa. Amazon insiste en que las medidas fundamentales —gestión de parches, higiene de credenciales, segmentación de redes y capacidades de detección para indicadores de post‑explotación— siguen siendo las defensas más efectivas contra campañas ampliadas con IA.
Para los equipos de seguridad que quieran profundizar, el informe de Amazon incluye detalles técnicos útiles y evidencia observable, incluido el rastro de ciertos hosts asociados a los escaneos, que pueden consultarse públicamente. Asimismo, recursos especializados explican técnicas específicas usadas por los atacantes, como los ataques DCSync contra Active Directory, que Semperis describe en detalle, y bases de datos de vulnerabilidades permiten verificar parches y mitigaciones para incidentes concretos.
La moral de la historia es clara: la llegada de modelos generativos al ecosistema de herramientas criminales no transforma de forma instantánea el panorama en algo irreconocible, pero sí democratiza y automatiza tareas que antes limitaban la actividad de actores menos sofisticados. En ese contexto, mantener los fundamentos de seguridad al día y desplegar controles preventivos y de detección robustos sigue siendo la receta más fiable para reducir el riesgo. No es suficiente con confiar en la oscuridad de la red: los dispositivos de perímetro deben tratarse como la puerta principal de una casa que hay que cerrar y vigilar con cuidado.
Si gestionas infraestructura con FortiGate u otros dispositivos de borde, revisa las guías oficiales del fabricante sobre endurecimiento y buenas prácticas, considera la monitorización continua de tus interfaces públicas y prepara procedimientos de respuesta que incluyan verificación de integridad de configuraciones y rotación de credenciales. La amenaza no es solo técnica: es una llamada de atención para organizaciones de todos los tamaños sobre por qué la disciplina operativa en ciberseguridad no puede ser una tarea secundaria.
Fuentes y lecturas recomendadas: el reporte de Amazon Threat Intelligence que documenta la campaña está disponible aquí, los CVE de Veeam pueden consultarse en la base NVD en CVE‑2023‑27532 y CVE‑2024‑40711, la explicación técnica de DCSync aparece en el análisis de Semperis, y para contexto sobre la evolución de amenazas asistidas por IA puede consultarse el Digital Defense Report de Microsoft y los documentos de política y riesgos de ENISA. Para comprobar indicadores observables, algunos IPs y artefactos han sido reportados públicamente en plataformas como VirusTotal.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...