La inteligencia artificial (IA) ya no es solo una herramienta de productividad. En manos expertas, también puede convertirse en un arma sofisticada capaz de burlar las mejores defensas. Un reciente experimento con el modelo de código abierto Qwen 2.5, entrenado durante apenas tres meses, ha demostrado que puede generar malware capaz de evadir Microsoft Defender for Endpoint en un 8 % de los casos.
Este proyecto, liderado por el investigador Kyle Avery del equipo de red team de Outflank, será presentado públicamente en la conferencia Black Hat 2025, y ya está generando un intenso debate en la comunidad de ciberseguridad.
Un entrenamiento “barato” con resultados preocupantes
Con una inversión de apenas 1.500 dólares y una estrategia de aprendizaje por refuerzo (Reinforcement Learning, RL), Avery convirtió a Qwen 2.5 —modelo de lenguaje abierto desarrollado por Alibaba— en un generador de malware eficaz. Mediante simulaciones y validaciones automáticas, la IA aprendió a crear código malicioso que pasaba desapercibido ante uno de los sistemas antivirus más utilizados del mundo.
El uso de RL marcó un antes y un después: el modelo recibía recompensas si lograba evadir las alertas de Defender, permitiéndole ajustar su “razonamiento” hasta afinar el código malicioso con precisión.
Supera a modelos más conocidos
Los resultados no solo son llamativos por su porcentaje de evasión, sino por superar ampliamente a modelos más sofisticados. Mientras Qwen 2.5 alcanzó una tasa de evasión del 8 %, modelos como el de Anthropic apenas lograron un 1 % y DeepSeek se quedó en un escaso 0,5 %.
Aunque el 8 % no parezca alto, en términos de ciberseguridad es alarmante: significa que en unos 12 intentos, un atacante podría generar malware completamente indetectable. Y nada impide que, con más tiempo y recursos, esa tasa siga subiendo.
Implicaciones: ¿el inicio de una nueva era en ciberataques?
Este experimento no es solo una curiosidad técnica. Representa un punto de inflexión:
- Barrera de entrada baja: El coste y los conocimientos necesarios para crear malware evasivo se reducen drásticamente con modelos open source y técnicas de entrenamiento accesibles.
- Amenaza persistente: A diferencia de un exploit concreto, una IA bien entrenada puede generar variantes infinitas y adaptarse a nuevas defensas sin intervención humana.
- Desafío regulatorio: ¿Cómo legislar el entrenamiento de IAs con fines ofensivos? ¿Se prohibirá por completo el entrenamiento local de ciertos modelos?
Además, el malware generado por IA tiene la ventaja de evitar las firmas tradicionales, ya que puede crear código nuevo en cada iteración. Esto desafía directamente las estrategias de detección basadas en patrones y obliga a los defensores a adoptar métodos de protección más dinámicos e inteligentes.
¿Qué hace Microsoft y el sector ante esto?
Aunque Microsoft no ha comentado públicamente el experimento, se espera que mejore su capacidad de detección mediante técnicas de aprendizaje automático más robustas, análisis de comportamiento y control contextual.
El verdadero reto para los fabricantes de antivirus es que, a medida que los modelos de IA se vuelven más capaces y más pequeños —como ocurre con Qwen 2.5—, incluso ciberdelincuentes con recursos modestos podrán entrenar agentes ofensivos en sus propios equipos.
La carrera armamentística de la IA
Este tipo de investigaciones pone de manifiesto que el futuro de la ciberseguridad ya no será solo técnico, sino también algorítmico. Las defensas deberán adaptarse a un entorno donde los atacantes no solo lanzan malware, sino que lo generan al instante, a medida, y de forma continua.
David Carrero, experto en infraestructura cloud y cofundador de Stackscale (Grupo Aire), advierte:
“Estamos entrando en una etapa donde los ciberataques no serán hechos aislados, sino flujos generativos. La defensa ya no puede ser reactiva, necesita IA defensiva autónoma, monitorización constante y, sobre todo, compartir inteligencia en tiempo real entre empresas.”
Conclusión: ¿es esta la nueva amenaza existencial?
Aunque los resultados de Qwen 2.5 no implican una amenaza inmediata a gran escala, sí son un recordatorio contundente de que las reglas del juego están cambiando. El equilibrio entre innovación en IA y seguridad es cada vez más delicado. Lo que hoy es un experimento académico, mañana puede ser una herramienta en un ataque de ransomware dirigido a infraestructuras críticas.
Y mientras tanto, se abre un debate ético y técnico sobre cómo entrenar, liberar o limitar estos modelos. La línea entre experimentación y riesgo real nunca ha sido tan fina.
Fuente: Noticias inteligencia artificial
