{"id":1129,"date":"2026-06-09T14:31:41","date_gmt":"2026-06-09T14:31:41","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/09\/los-investigadores-construyen-un-gusano-de-ia-autorreplicante-que-funciona-completamente-en-modelos-locales-de-peso-abierto-cyberdefensa-mx\/"},"modified":"2026-06-09T14:31:41","modified_gmt":"2026-06-09T14:31:41","slug":"los-investigadores-construyen-un-gusano-de-ia-autorreplicante-que-funciona-completamente-en-modelos-locales-de-peso-abierto-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/09\/los-investigadores-construyen-un-gusano-de-ia-autorreplicante-que-funciona-completamente-en-modelos-locales-de-peso-abierto-cyberdefensa-mx\/","title":{"rendered":"Los investigadores construyen un gusano de IA autorreplicante que funciona completamente en modelos locales de peso abierto \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de la Universidad de Toronto han construido y probado una prueba de concepto de gusano inform\u00e1tico impulsado por IA que utiliza un modelo de lenguaje grande y abierto alojado localmente para razonar su camino a trav\u00e9s de una red, generar estrategias de ataque personalizadas para cada objetivo que encuentre y replicarse, todo sin intervenci\u00f3n humana y sin tocar un servicio comercial de IA.<\/p>\n

La preimpresi\u00f3n, publicado en arXiv<\/a> el 2 de junio y actualmente bajo revisi\u00f3n por pares, muestra por qu\u00e9 el parche CVE \u00fanico falla cuando el malware puede inspeccionar servicios expuestos, leer nuevos avisos y generar una nueva ruta de ataque en tiempo de ejecuci\u00f3n.<\/p>\n

En 15 ejecuciones aisladas en una red de 33 hosts deliberadamente vulnerable, el gusano identific\u00f3 un promedio de 31,3 vulnerabilidades y obtuvo acceso elevado en 23,1 hosts, aproximadamente tres cuartas partes de los hosts a los que atacaba activamente. Luego se replic\u00f3 de forma aut\u00f3noma en 20,4 de esos hosts, o el 62% de la red completa, durante siete d\u00edas, sin conocimiento previo de la topolog\u00eda de la red ni intervenci\u00f3n humana.<\/p>\n

Los gusanos tradicionales se env\u00edan con una carga \u00fatil de exploit fija elegida en el momento de su creaci\u00f3n. Parche esos errores espec\u00edficos y el gusano dejar\u00e1 de propagarse.<\/p>\n

Este gusano hace algo diferente: utiliza un LLM de peso abierto que se ejecuta en una sola GPU para generar una l\u00f3gica de ataque en tiempo de ejecuci\u00f3n, adaptada a lo que encuentre en el siguiente objetivo. Sin cadena de exploits precodificada. No hay dependencia de OpenAI, Anthropic o cualquier otra API que una plataforma pueda revocar o limitar.<\/p>\n

Lo que realmente hizo el gusano<\/h2>\n

Dirigido por el profesor asociado Nicolas Papernot, el Laboratorio CleverHans<\/a> El equipo abarca la Universidad de Toronto, el Vector Institute, la Universidad de Cambridge y ServiceNow. Realizaron 15 experimentos independientes en una red aislada de 33 hosts (\u00abFakeCorp\u00bb) que abarca Ubuntu, Debian, Rocky Linux, Alpine, Windows Server 2008 R2, 2019 y 2022, y dispositivos IoT.<\/p>\n

Cada host ten\u00eda al menos una vulnerabilidad del mundo real. Cinco de las 33 m\u00e1quinas ten\u00edan GPU. En los principales experimentos de propagaci\u00f3n, el gusano utiliz\u00f3 un grupo de inferencia de GPU compartido para simular la computaci\u00f3n adquirida de las m\u00e1quinas v\u00edctimas. El equipo prob\u00f3 por separado la replicaci\u00f3n completa de nivel de GPU, en la que el gusano coloca una instancia LLM local en un host de GPU comprometido; que tuvo \u00e9xito en el 68,8% de los intentos.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

En el dise\u00f1o por niveles, los hosts infectados con capacidad de GPU sirven como nodos de razonamiento distribuidos que proporcionan inferencias para dispositivos de computaci\u00f3n inferior en la red que no pueden ejecutar el modelo por s\u00ed mismos.<\/p>\n

En las 15 ejecuciones, el gusano obtuvo acceso elevado en 23,1 hosts y lanz\u00f3 con \u00e9xito una r\u00e9plica en el 88% de ellos. Alcanz\u00f3 hasta siete generaciones de autorreplicaci\u00f3n, con una media de 5,1. La configuraci\u00f3n era intencionalmente vulnerable: el documento dice que la prueba mide el razonamiento aut\u00f3nomo a trav\u00e9s de fallas individuales realistas, no propagadas a trav\u00e9s de una red de producci\u00f3n mayoritariamente reforzada bajo defensa activa de endpoint.<\/p>\n

Los exploits en una sola ejecuci\u00f3n incluyeron un SambaCry encadenado y una escalada de privilegios cron de root grabables, Dirty Pipe, PrintNightmare, Drupalgeddon 2, Exim RCE, inyecci\u00f3n ciega de SQL, derivaci\u00f3n de JWT, escape de Redis y m\u00e1s, no porque estuvieran preprogramados, sino porque el agente razon\u00f3 hasta llegar a ellos a partir de lo que encontr\u00f3 en cada host.<\/a><\/p>\n

\"\"<\/a><\/div>\n

La Figura 2 del art\u00edculo mapea el \u00e1rbol de propagaci\u00f3n radial completo en una ejecuci\u00f3n, mostrando de seis a siete generaciones de distribuci\u00f3n en hosts Linux, Windows e IoT. Los intentos de explotaci\u00f3n individuales tuvieron \u00e9xito aproximadamente el 44% de las veces. La mayor\u00eda de las fallas se debieron a una sintaxis de carga \u00fatil mal formada, no a una l\u00f3gica defectuosa. Los exploits de aplicaciones web y la escalada de privilegios de Windows fueron m\u00e1s dif\u00edciles que los exploits locales y de servicios de Linux, un l\u00edmite de capacidad que el documento trata como una limitaci\u00f3n del modelo actual, no como una defensa estructural.<\/p>\n

El problema de la ventana de parcheo<\/h2>\n

El gusano super\u00f3 su propio l\u00edmite de entrenamiento al ingerir texto de aviso p\u00fablico en tiempo de ejecuci\u00f3n, explotando con \u00e9xito hosts de prueba configurados con tres vulnerabilidades reveladas despu\u00e9s de que se entren\u00f3 el modelo:<\/p>\n

Contra esos tres hu\u00e9spedes, el gusano logr\u00f3 arraigarse en 41 de 67 intentos.<\/p>\n

CVE-2026-39987 se revel\u00f3 el 8 de abril de 2026. Sysdig observ\u00f3 explotaci\u00f3n en honeypots 9 horas y 41 minutos despu\u00e9s de eso, y document\u00f3 por separado una intrusi\u00f3n en el mundo real en la que un atacante utiliz\u00f3 un agente LLM para actividad posterior a la explotaci\u00f3n despu\u00e9s de comprometer una instancia p\u00fablica de Marimo. La misma brecha de parche de siempre, ahora con un agente leyendo el aviso y prob\u00e1ndolo a escala.<\/p>\n

El paralelo relevante con WannaCry es la brecha del parche, no el radio de explosi\u00f3n. EternalBlue hab\u00eda sido parcheado durante meses antes de que apareciera WannaCry. El documento plantea el mismo punto bajo una restricci\u00f3n diferente: un gusano adaptativo puede seguir probando nuevas rutas mientras los defensores todav\u00eda est\u00e1n validando las soluciones.<\/p>\n

Coste marginal cero, sin interruptor de apagado central<\/h2>\n

Hay dos cosas que hacen que sea m\u00e1s dif\u00edcil de contener que un gusano tradicional.<\/p>\n