El código oculto: cuando la inteligencia artificial revela las grietas del imperio digital

Hay una máxima que los profesionales de la ciberseguridad conocen bien: lo que fue diseñado para perdurar, puede ser usado para destruir. Y en el gremio nadie lo sabe mejor que quienes han visto los restos de un código nacido en la era de los discos flexibles, pero que aún hoy puede tumbar un puente, una presa o un sistema de control de misiles. Hablamos de fast16, un artefacto de 2005 —sí, cinco años antes de Stuxnet— que los investigadores de SentinelOne exhumaron en el Black Hat Asia. Un “logic bomb” tan precisamente calibrado que parece el boceto de una pesadilla escrita por un ingeniero resentido o por un estado nación con mucha paciencia.

Pero esta historia no es solo una pieza de museo. Es el hilo conductor de una semana en la que la inteligencia artificial, los exploits de siempre y las vulnerabilidades recién nacidas se entrelazan como en una novela de conspiración técnica. Y en Globel México nos interesa contarla con honestidad brutal, con humor ácido cuando toque, y con el rigor que exige un ecosistema donde un solo clic puede costar millones de pesos.

El legado tóxico de la ingeniería de precisión

El descubrimiento de fast16 no es una curiosidad arqueológica. Es una advertencia. Este malware estaba diseñado para infectar software de simulación de alto rendimiento: LS-DYNA (usado en crash tests automotrices), PKPM (estructural en la construcción china) y MOHID (modelado ambiental y costero). Su objetivo: inducir errores sutiles en cálculos críticos. No se trataba de robar datos, sino de sabotear la física misma. Un puente diseñado con esas herramientas podría colapsar años después, sin que nadie sospechara del código.

La moraleja que nos deja es incómoda: la inteligencia artificial actual, desplegada en entornos industriales, hereda los mismos riesgos de confianza ciega en el software. Si un framework de 2005 pudo infiltrarse en modelos de simulación con conocimiento casi quirúrgico, ¿qué no podrá hacer un agente de IA entrenado específicamente para encontrar esos puntos ciegos? En Globel México lo vemos claro: la seguridad de la IA no empieza en el data center, empieza en el respeto por el código heredado.

Tropic Trooper y el arte de disfrazar un lector de PDF

Mientras los fantasmas del pasado acechan las simulaciones, los actores del presente perfeccionan el camuflaje digital. El grupo Tropic Trooper (también conocido como ScarCruft) volvió a la carga con una campaña que merece un Oscar al disfraz técnico: una versión trojanizada de SumatraPDF que se hace pasar por un inocente lector de documentos militares. El vector de entrada: un archivo ZIP con temática castrense dirigido a infraestructuras en Taiwán, Corea del Sur y Japón.

La cadena de infección es una coreografía de precisión. El ejecutable falso muestra un PDF legítimo mientras, en segundo plano, descarga shellcode cifrado que instala el AdaptixC2 Beacon. Pero lo más fascinante —y aterrador— es el uso de GitHub para el comando y control, y la capacidad de escalar acciones basándose en el valor percibido del equipo comprometido. Al final del camino: túneles de Visual Studio Code para acceso remoto persistente y aplicaciones trojanizadas adicionales. Un ecosistema completo de ocultación.

El mensaje para las empresas mexicanas con operaciones en Asia o con cadenas de suministro globales es directo: un lector de PDF puede ser la puerta de entrada a su red más sensible. Y la inteligencia artificial, lejos de ser la solución mágica, necesita ser entrenada para detectar estos comportamientos laterales que los humanos pasamos por alto.

BlueHammer: la amenaza que llegó para quedarse (y CISA lo sabe)

Si hay una vulnerabilidad que ha monopolizado los titulares esta semana, esa es BlueHammer (CVE-2026-33825). No es para menos: un fallo de escalada de privilegios en Microsoft Defender que permite a cualquier usuario con bajos permisos alcanzar SYSTEM completo. La CISA ordenó parchear en dos semanas, pero el dato escalofriante es que el exploit ya se estaba usando en ataques de día cero cuando se filtró el código de prueba de concepto.

¿La conexión con la IA? Directa. Los investigadores detectaron que actores geolocalizados en Rusia estaban integrando este exploit en campañas automatizadas, orquestadas probablemente por sistemas de decisión autónomos. La escalada de privilegios ya no es solo cosa de scripts manuales: la inteligencia artificial puede identificar sistemas vulnerables, lanzar el exploit y exfiltrar datos sin intervención humana. Bienvenidos a la guerra asimétrica 2.0.

• Lección uno: el software de seguridad no es inmune. Defender es un pilar, pero su propia fortaleza puede ser su talón de Aquiles.
• Lección dos: la velocidad de weaponization supera la capacidad de respuesta humana. Necesitamos sistemas de detección que aprendan en tiempo real.
• Lección tres: el parcheo sigue siendo la vacuna más barata. Pero solo si se aplica antes de que el virus se propague.

SS7 y Diameter: los protocolos que no mueren

Y hablando de legados peligrosos, Citizen Lab publicó una investigación que debería helar la sangre de cualquier directivo de telecomunicaciones: los protocolos SS7 y Diameter siguen siendo explotados masivamente para rastrear a figuras de alto perfil. Aunque Diameter fue diseñado para corregir las fallas de SS7, la realidad es que las redes modernas dependen de ambos para interoperar, creando una superficie de ataque que los commercial surveillance vendors explotan suplantando identidades legítimas de operadores.

En un mundo donde la IA generativa puede clonar voces y crear deepfakes en segundos, la capacidad de geolocalizar a un directivo, periodista o político mediante estos protocolos se convierte en un multiplicador de amenazas. La privacidad no es un lujo: es un requisito de negocio.

LMDeploy y el síndrome del código abierto confiado

El último capítulo de esta semana lo escribió LMDeploy, un toolkit popular para implementar grandes modelos de lenguaje. Una vulnerabilidad de tipo Server-Side Request Forgery (CVE-2026-33626) con CVSS 7.5 fue explotada apenas 13 horas después de su divulgación. El ataque inicial realizó escaneo de puertos y exfiltración DNS desde una IP específica. La moraleja: el código abierto es hermoso, pero sin un modelo de seguridad robusto, es como invitar a los ladrones a ver los planos de tu casa.

Para las startups mexicanas que despliegan modelos de lenguaje en producción, esta es una llamada de atención. No basta con tener el mejor modelo; hay que asegurar cada línea de código que lo sirve. La IA no perdona la pereza operativa.

La convergencia inevitable: IA, ciberseguridad y responsabilidad

Si algo nos enseñan estos casos —fast16, Tropic Trooper, BlueHammer, SS7, LMDeploy— es que la ciberseguridad ya no es un departamento aislado. Es una función distribuida en cada capa de la organización, desde el ingeniero que escribe el código hasta el director que decide qué herramientas de IA comprar. La inteligencia artificial está acelerando tanto la defensa como el ataque, y en ese duelo, la única ventaja sostenible es la preparación cultural y técnica.

En Globel México entendemos que el futuro de la seguridad no se construye con soluciones mágicas, sino con análisis riguroso, humor para no volvernos locos y una red de aliados que compartan inteligencia. No se trata de tener miedo: se trata de tener respeto por el enemigo y por nuestras propias debilidades. Porque el código oculto de 2005 sigue vivo, y el próximo exploit podría estar escribiéndose ahora mismo, alimentado por una IA que aún no sabemos cómo detener.

Pero hay algo que sí sabemos: la conversación solo empieza. Y en Globel México, estamos listos para tenerla con datos, con café bien cargado y con la honestidad que nuestra comunidad merece.