El hallazgo de un servidor mal configurado expuso el “santo grial” de los cibercriminales modernos: una cadena de ataque totalmente automatizada donde la Inteligencia Artificial dirige, escribe el código y explota las vulnerabilidades en tiempo real.
La pesadilla teórica de la ciberseguridad ya es una realidad operativa. Hoy 24 de febrero de 2026, el descubrimiento de una campaña de intrusión masiva que ha marcado un antes y un después en el cibercrimen: el uso directo de los Modelos de Lenguaje Grande (LLMs) DeepSeek y Claude como motores de ejecución dentro de la cadena de muerte (kill chain) de un ataque.
El descubrimiento, realizado por analistas, se produjo a principios de este mes gracias a un error de los propios atacantes, quienes dejaron mal configurado un servidor de comando. Al analizar los registros (logs), los investigadores encontraron una tubería de software diseñada para cazar y penetrar dispositivos FortiGate SSL VPN a escala industrial.
Un Cerebro Bicefálico: DeepSeek + Claude
El nivel de sofisticación de esta operación radica en cómo los atacantes asignaron roles específicos a cada IA basándose en sus fortalezas:
- DeepSeek: Utilizado como el “estratega”. Este modelo recibe los datos crudos de reconocimiento de la red y genera los planes de ataque estratégicos.
- Claude: Actúa como el “operador táctico”. Aprovechando sus superiores capacidades de programación, ejecuta evaluaciones de vulnerabilidad y lanza los exploits.
Esta automatización dual permitió a operadores de bajo nivel técnico orquestar ataques complejos contra más de 2,500 dispositivos en 106 países en lotes paralelos y simultáneos, sin intervención humana manual.
La Infraestructura del Ataque: ARXON y CHECKER2
Para conectar la IA con el mundo real, los criminales construyeron dos herramientas personalizadas:
- CHECKER2: Un orquestador basado en Docker encargado del escaneo masivo y paralelo de los puertos VPN en busca de credenciales comprometidas o fallos de configuración.
- ARXON: La pieza maestra. Funciona como un servidor del Protocolo de Contexto de Modelos (MCP). ARXON actúa como un puente que alimenta directamente a los LLMs con la telemetría de la red de la víctima. Las IAs analizan estos datos y le devuelven a ARXON los pasos exactos para la explotación.
Explotación Autónoma Post-Brecha
Lo más alarmante es lo que ocurre una vez que los atacantes están dentro de la red. Los registros del servidor revelaron que el sistema utiliza a Claude para ejecutar de forma autónoma herramientas ofensivas avanzadas como Metasploit e Impacket. En los extractos recuperados, se puede ver cómo la IA documenta sus propios hallazgos, evalúa el entorno de la víctima y decide por sí sola cuáles son los siguientes pasos prioritarios (como buscar una escalada de privilegios o moverse hacia un servidor de bases de datos).
Plan de Acción para Equipos de Defensa (Blue Teams)
El ataque asistido por IA comprime el tiempo que los defensores tienen para reaccionar.
- Parcheo Inmediato: Las vulnerabilidades en dispositivos de borde (como firewalls y VPNs de Fortinet) deben ser mitigadas al instante. La automatización no deja margen de horas para aplicar un parche.
- Auditoría de VPNs: Es urgente revisar las cuentas de usuario de VPN activas en busca de creaciones no autorizadas o inicios de sesión desde ubicaciones geográficas atípicas.
- Caza de Amenazas: Monitorear túneles SSH inesperados o el uso de herramientas de pentesting como Impacket dentro de la red interna.
