Un framework de agentes de IA que explota vulnerabilidades de zero-day

La inteligencia artificial utilizada en ciberamenazas se hizo sentir el año pasado especialmente en dos ámbitos. Por un lado, en la mejora de los mensajes de phishing, desde texto sin errores hasta deepfakes; y, por otro, en el enorme crecimiento del volumen de ataques. Sin quitarle importancia, los responsables de ciberseguridad las consideraban amenazas para las que se estaba preparado; el temor viene con lo que puede llegar después.

Un ejemplo es Hexstrike-AI. Como explica Check Point Software, “actúa como un ‘núcleo de coordinación’ capaz de dirigir más de 150 agentes especializados de IA para escanear, explotar y mantener persistencia en sistemas de manera autónoma”. Este framework se creó para los equipos de red team, como una herramienta de pruebas de seguridad, pero al parecer no han tardado mucho en hacerse con el sistema.

La compañía señala que apenas unas horas después del lanzamiento de la herramienta, se detectó en la dark web el uso de Hexstrike-AI para explotar vulnerabilidades de Citrix NetScaler ADC y Gateway que acababan de ser reveladas. Mario García, director general de Check Point Software para España y Portugal, considera que es “un punto de inflexión: lo que era un concepto teórico –la orquestación de ataques mediante IA– ya se ha materializado en una herramienta funcional que los atacantes están utilizando contra vulnerabilidades activas”.

Entre otras capacidades de la herramienta, tiene una capa de orquestación MCP (Model Context Protocol) que conecta sus más de 150 agentes de IA con LLM como Claude, GPT o Copilot; puede “traducir instrucciones generales como ‘explotar NetScaler’ en secuencias técnicas precisas y automatizadas”; posee “funciones de descubrimiento, explotación, persistencia y exfiltración de datos”; y es capaz de automatizar ataques masivos.