Google ha decidido llevar Gemini a uno de los territorios más opacos de internet. La compañía ha presentado una nueva capacidad de inteligencia sobre la dark web dentro de Google Threat Intelligence con la que sus modelos analizan millones de eventos diarios para localizar señales tempranas de riesgo, como filtraciones de datos, actividad de intermediarios que venden accesos iniciales o conversaciones que puedan anticipar un ataque contra una empresa concreta. Según Google, esta función ya está disponible en vista previa pública.
La novedad no está solo en que el sistema lea foros clandestinos, canales de mensajería, sitios de paste o mercados alojados en dominios onion. La diferencia, según explica Google, es que ya no se limita a buscar palabras clave exactas, sino que construye un perfil de la organización y cruza ese contexto con mensajes ambiguos que, en herramientas más tradicionales, pasarían desapercibidos o acabarían generando una avalancha de falsos positivos.
Del rastreo por palabras al análisis con contexto
Durante años, buena parte de la monitorización de la dark web se ha apoyado en búsquedas por expresiones concretas: nombres de marcas, dominios, direcciones de correo o palabras asociadas a una compañía. El problema de ese enfoque es evidente. Si un atacante evita mencionar de forma explícita a la víctima o describe solo parte de su perfil, muchas herramientas no detectan nada relevante. Google sostiene que ahí quiere marcar distancias con Gemini.
La empresa explica que su sistema crea automáticamente un perfil de la organización usando información pública y el contexto autorizado por el cliente. Ese perfil incluye datos sobre la actividad del negocio, marcas, altos cargos, filiales y entorno tecnológico. Después, Gemini compara ese mapa con los mensajes detectados en la dark web para decidir si una publicación apunta de verdad a esa empresa, aunque el actor malicioso no la cite por su nombre. En un ejemplo compartido por Google, un anuncio sobre acceso VPN vendido para una gran cadena minorista europea podría vincularse con una subsidiaria concreta al cruzar ingresos, geografía y tipo de portales comprometidos.
Google asegura que, en pruebas internas, esta capacidad alcanza un 98 % de precisión al analizar millones de eventos externos al día. Brandon Wood, responsable de producto de Google Threat Intelligence, señaló además a The Register que el volumen actual se mueve entre 8 y 10 millones de eventos diarios. Son cifras relevantes, aunque conviene leerlas con cautela: se trata de métricas proporcionadas por la propia compañía, no de una evaluación independiente publicada por terceros.
Qué puede detectar y por qué interesa a las empresas
El interés empresarial de esta herramienta está en la fase temprana del ataque. Google sostiene que el sistema puede identificar señales asociadas a brokers de acceso inicial, posibles fugas de datos, amenazas internas y otras conversaciones que suelen aparecer antes de que el incidente llegue a los equipos de defensa en forma de ransomware, extorsión o intrusión confirmada. La idea es filtrar el ruido y elevar solo lo que tenga una relación clara con la organización.
Ese punto no es menor. Michael Kosak, director de inteligencia de amenazas en LastPass, afirmó en la presentación de Google que otras herramientas de dark web con las que había trabajado antes generaban más de un 90 % de falsos positivos. Google usa precisamente ese argumento para defender que el salto no está solo en la escala, sino en la relevancia: menos alertas genéricas y más señales priorizadas con una explicación del “por qué” y el “cómo” de la amenaza.
Además, la nueva capacidad se apoya en el trabajo del Google Threat Intelligence Group, el equipo heredero de Mandiant dentro de Google Cloud. La propia compañía afirma que actualmente monitoriza 627 actores de amenaza, un dato que ayuda a entender por qué quiere combinar inteligencia humana con modelos de lenguaje: no se trata de sustituir a los analistas, sino de darles una herramienta que les permita llegar antes a patrones difíciles de ver a simple vista.
El movimiento encaja en la carrera por la seguridad agéntica
El anuncio no llega aislado. Google también ha introducido en vista previa nuevas funciones de automatización agéntica en Google Security Operations. Entre ellas figura un agente de triaje e investigación capaz de investigar alertas, recopilar evidencias y emitir un veredicto estructurado con explicaciones. Además, Google ha anunciado soporte remoto para MCP en Security Operations, con disponibilidad general prevista para comienzos de abril.
Todo ello encaja con una tendencia mucho más amplia en ciberseguridad: la automatización de tareas que hasta ahora dependían de equipos humanos saturados por alertas, paneles y contextos dispersos. La presión también viene del lado atacante. Google publicó recientemente, junto a Mandiant, que los adversarios están pasando de usos experimentales de la Inteligencia Artificial a herramientas adaptativas y agentes autónomos capaces de reescribir código en tiempo real. En ese escenario, la promesa de “defensa a velocidad de máquina” deja de ser un lema comercial y empieza a convertirse en una exigencia operativa para grandes entornos corporativos.
Aun así, la propuesta de Google abre preguntas razonables. Analizar la dark web con modelos de lenguaje exige cuidar mucho qué contexto del cliente entra en el sistema y cómo se explica la lógica de cada alerta. La compañía asegura que trabaja principalmente con información pública y con el contexto que el usuario decide compartir, y que además aporta citas de las fuentes utilizadas para reducir la sensación de caja negra. Es una precaución importante, porque en ciberseguridad no basta con acertar: también hay que poder justificar por qué una alerta merece atención.
El paso dado por Google muestra, en cualquier caso, hacia dónde se mueve el mercado. La dark web ya no se observa solo como un archivo caótico de indicadores y menciones sospechosas, sino como un flujo de señales que los modelos pueden ordenar, resumir y correlacionar con el negocio real de cada empresa. La cuestión, a partir de ahora, no será únicamente si Gemini encuentra más amenazas, sino si lo hace con suficiente precisión, transparencia y utilidad como para ganarse un lugar estable en los equipos de inteligencia y respuesta.
Preguntas frecuentes
¿Qué ha anunciado exactamente Google sobre Gemini y la dark web?
Google ha lanzado una nueva capacidad de dark web intelligence dentro de Google Threat Intelligence para analizar millones de eventos diarios con Gemini y resaltar amenazas relevantes para cada organización. Según la compañía, ya está disponible en vista previa pública.
¿Qué tipos de fuentes analiza esta función de Google Threat Intelligence?
Según la documentación de Google Threat Intelligence, el módulo de dark web cubre foros clandestinos, canales de mensajería como Telegram, sitios de paste y mercados alojados en dominios onion, entre otras capas no indexadas o cifradas de la red.
¿Qué ventajas promete frente a las herramientas clásicas de monitorización de la dark web?
Google sostiene que Gemini reduce el ruido al pasar de búsquedas rígidas por palabras clave a un análisis contextual basado en el perfil de la organización. La empresa afirma que sus pruebas internas muestran un 98 % de precisión y que otras herramientas pueden superar el 90 % de falsos positivos.
¿También ha anunciado Google agentes para investigar alertas de seguridad?
Sí. Google Security Operations incorpora en vista previa un agente de triaje e investigación que puede investigar alertas, reunir evidencias y emitir veredictos con explicaciones. Google también ha anunciado soporte remoto para MCP con disponibilidad general prevista para comienzos de abril.
vía: cybersecuritynews
