OpenAI ha dado un golpe a la ciberdelincuencia al bloquear cuentas de varios grupos de hackers norcoreanos que estaban usando ChatGPT para investigar posibles objetivos y buscar formas de infiltrarse en redes ajenas. Según el informe de inteligencia de amenazas de la compañía publicado en febrero de 2025, estas cuentas mostraban actividad sospechosa vinculada a actores de amenazas afiliados a Corea del Norte, incluyendo los grupos conocidos como VELVET CHOLLIMA (Kimsuky, Emerald Sleet) y STARDUST CHOLLIMA (APT38, Sapphire Sleet).
Este caso deja en evidencia cómo la inteligencia artificial puede ser utilizada con fines maliciosos y plantea una gran pregunta: ¿cómo protegemos estas herramientas sin frenar su potencial? No es la primera vez que ciberdelincuentes intentan aprovechar la IA para mejorar sus ataques, y seguramente no será la última.
¿Cómo los hackers norcoreanos usaban ChatGPT para mejorar sus ataques?
OpenAI detectó y bloqueó estas cuentas gracias a información proporcionada por un socio de la industria. Al parecer, los hackers no solo usaban ChatGPT para investigar qué herramientas podrían usar en sus ataques, sino también para buscar información sobre criptomonedas, un tema de gran interés para los grupos de amenazas patrocinados por el gobierno de Corea del Norte.
Además, aprovecharon la IA para recibir ayuda en la programación, incluyendo el uso de herramientas de administración remota (RAT) de código abierto, depuración de código y el desarrollo de herramientas que podrían facilitar ataques, como aquellos dirigidos al Protocolo de Escritorio Remoto (RDP) mediante fuerza bruta.
Pero eso no es todo. Los analistas de OpenAI también descubrieron que estos actores maliciosos estaban probando binarios sospechosos y compartiendo URLs de prueba que, en ese momento, no habían sido detectadas por los proveedores de seguridad. En otras palabras, estaban usando la IA para refinar sus ataques sin levantar sospechas.
Sin embargo, este movimiento terminó volviéndose en su contra. Gracias a la investigación, estas URL y archivos ejecutables fueron enviados a un servicio de escaneo en línea, lo que permitió a la comunidad de seguridad analizarlos y mejorar sus sistemas de detección. Como resultado, algunos proveedores ya pueden identificar estos archivos maliciosos de manera confiable, reduciendo el riesgo de futuros ataques.
Podría interesarte leer: Hackean a Bybit: Roban $1.500 Millones de Dólares en Criptomonedas
Hackers, estafas laborales y desinformación
OpenAI descubrió que los hackers norcoreanos no solo usaban ChatGPT para investigar vulnerabilidades, sino que también lo aprovechaban para mejorar sus tácticas y desarrollar herramientas más avanzadas. Entre sus actividades más preocupantes estaban:
- Buscar fallos de seguridad en diversas aplicaciones.
- Desarrollar y solucionar problemas en un cliente RDP basado en C#.
- Solicitar código para evadir advertencias de seguridad en conexiones RDP no autorizadas.
- Generar scripts de PowerShell para conexiones remotas, descarga de archivos y ejecución de código en memoria.
- Investigar métodos de phishing dirigidos a inversores y comerciantes de criptomonedas.
- Redactar correos y notificaciones de phishing para engañar a usuarios y robar datos confidenciales.
Además de estas acciones, OpenAI detectó cuentas vinculadas a un esquema de empleo encubierto de trabajadores de TI norcoreanos. Básicamente, estos hackers conseguían trabajos en empresas occidentales haciéndose pasar por profesionales legítimos. Una vez dentro, usaban ChatGPT para escribir código, solucionar problemas y hasta para inventar excusas creíbles cuando su comportamiento levantaba sospechas, como evitar videollamadas o conectarse desde ubicaciones inusuales.
Pero Corea del Norte no fue el único actor malicioso identificado. Desde octubre de 2024, OpenAI también ha detectado y bloqueado dos campañas originadas en China, llamadas "Peer Review" y "Sponsored Discontent". Estas operaciones utilizaron ChatGPT para desarrollar herramientas de vigilancia y crear artículos propagandísticos en español con contenido antiestadounidense.
En su informe anterior, la compañía reveló que, desde principios de 2024, ha desmantelado más de 20 campañas relacionadas con operaciones cibernéticas y campañas de desinformación patrocinadas por los gobiernos de China e Irán. Esto demuestra que la inteligencia artificial está en el centro de una batalla creciente entre la ciberseguridad y los actores estatales que buscan aprovecharla para sus propios intereses.
Podría interesarte leer: ¿Será la IA el arma clave de los cibercriminales en 2025?
Conclusión
El bloqueo de cuentas de hackers norcoreanos por parte de OpenAI deja claro que la inteligencia artificial no es solo una herramienta innovadora, sino también un arma potencial en manos equivocadas. Desde el desarrollo de malware hasta estafas laborales y campañas de desinformación, los ciberdelincuentes están explorando nuevas formas de aprovechar modelos como ChatGPT para sus propios fines.
Este caso refuerza la necesidad de que las empresas tecnológicas refuercen sus mecanismos de detección y restricción, y que los gobiernos trabajen en regulaciones más sólidas para evitar el mal uso de la IA. También subraya el papel crucial de la comunidad de ciberseguridad en la identificación y mitigación de amenazas antes de que causen daños mayores.
