ofensiva
EDR evasion
LLM attacks
malware IA

EDR evasion con LLMs: cómo los atacantes usan IA y cómo defenderse 2026

EDR evasion con LLMs: malware polimórfico generado por IA, AMSI bypass, hallucinated payloads, behavior analytics como defensa y validación purple team.

Secra8 de junio de 202615 min de lectura

Desde 2024 los atacantes integran modelos de lenguaje en su cadena ofensiva para acelerar tareas que antes requerían operadores con experiencia: generar variantes de malware, reescribir loaders para evadir firmas, construir payloads contextuales y producir phishing convincente a escala. La consecuencia es que los EDR basados principalmente en firmas pierden efectividad frente a un universo de variantes casi ilimitado, y la defensa debe apoyarse en análisis de comportamiento, telemetría profunda y validación purple team con cargas reales generadas por IA. Este artículo describe cómo se usa la IA en operaciones ofensivas hoy, qué técnicas escalan, qué limitaciones siguen teniendo los LLM y qué estrategia defensiva es razonable en 2026 sin marketing.

Lo esencial

  • Los LLM aceleran generación de loaders polimórficos, ofuscación de PowerShell, scripts de movimiento lateral y phishing contextual.
  • Mercados como WormGPT y FraudGPT existieron y existen variantes, pero la mayor parte del uso real es con modelos comerciales bajo abuso de cuenta documentado por OpenAI, Anthropic y Microsoft.
  • Los LLM siguen alucinando APIs, mezclando sintaxis y tropezando con alignment, por lo que requieren operador humano para validar.
  • El EDR basado solo en firmas pierde efectividad: behavior analytics, ML on-device, Sysmon con Sigma y threat hunting proactivo son la línea defensiva que escala.
  • Purple team con cargas generadas por IA es la única forma honesta de validar si su EDR detecta lo que el proveedor promete.

Cómo los atacantes están usando LLMs hoy

El uso adversarial de LLM en 2026 no es ciencia ficción ni herramienta milagrosa. Es un acelerador con cuatro patrones recurrentes que conviene describir con precisión.

El primer patrón es generación de código ofensivo evasivo. El operador pide al modelo que reescriba un loader conocido cambiando estructura de control, nombres de variables, rutinas de XOR y mecanismos de carga reflectiva. No se escribe malware desde cero (los LLM siguen siendo mediocres en proyectos largos), sino variantes de componentes pequeños que rompan firmas y heurísticas estáticas.

El segundo patrón es ofuscación creativa. PowerShell, JavaScript en HTA, Python en frameworks tipo Impacket o ensamblador en bind shells se prestan a transformaciones léxicas, codificaciones encadenadas, splitting de cadenas y técnicas tipo cradle reescritas. Los LLM producen variantes a velocidad humanamente inalcanzable.

El tercer patrón es phishing y social engineering contextual. El operador alimenta al modelo con información pública del objetivo (LinkedIn, comunicaciones corporativas, posts) y obtiene correos personalizados, mensajes de Teams creíbles, scripts de vishing y landing pages adaptadas. La calidad tonal es indistinguible de comunicaciones internas en muchos casos.

El cuarto patrón es scripts de movimiento lateral y post-explotación a medida. Una vez dentro, el operador pide enumeración de Active Directory, parsing de ACLs, abuso de relaciones de confianza, comandos LOLBin en versiones concretas de Windows y exfiltración por canales legítimos. El modelo no opera autónomamente: el operador decide, valida y ejecuta.

Casos documentados

Conviene tratar este apartado sin glamorizar a los actores ni inflar capacidades. Los hechos públicos relevantes en los últimos dos años son suficientes.

WormGPT y FraudGPT aparecieron en foros y Telegram entre 2023 y 2024 como modelos sin alignment, comercializados por suscripción en mercados clandestinos. Investigadores demostraron que muchas ofertas eran wrappers sobre modelos abiertos con prompts permisivos, y otras estafas a otros delincuentes. La narrativa mediática infló su impacto, pero el patrón es real: existe demanda y oferta de LLM con alignment debilitado para uso ofensivo.

Abuso de modelos comerciales está documentado en informes públicos de OpenAI, Anthropic y Microsoft. OpenAI ha publicado disrupciones a actores afiliados a estados (grupos vinculados a inteligencia de Rusia, China, Irán y Corea del Norte) usando ChatGPT para investigación de objetivos, traducción, scripts auxiliares y depuración de código. El uso no es para autonomía ofensiva, sino para acelerar trabajo intelectual repetitivo.

Grupos como los asociados a Forest Blizzard (APT28) han probado modelos comerciales para investigación de protocolos y desarrollo de scripts, según divulgación pública de Microsoft Threat Intelligence. No hay evidencia pública creíble de campañas operadas por LLM de forma autónoma a fecha de cierre.

El uso adversarial real es más prosaico que el imaginario de la prensa: aceleración, no autonomía; soporte operativo, no campaña automatizada extremo a extremo.

Técnicas de evasión con LLM

Estas son las técnicas concretas que aparecen con más frecuencia en ejercicios ofensivos y en muestras analizadas en los últimos meses.

Generación de loaders polimórficos

El operador parte de un loader conocido y pide variantes con estructura distinta: cambio de algoritmo de descifrado, WinAPI sustituida por syscalls directos, código basura neutro y rutinas de unhooking reescritas. Cada variante tiene firma diferente y pasa controles estáticos que la original ya no superaba.

Variantes de AMSI bypass

AMSI sigue siendo el punto de control principal en Windows para inspección de scripts. Las técnicas clásicas (patching de AmsiScanBuffer, manipulación de memoria, hook del provider) están firmadas. Un LLM produce variantes léxicas y estructurales modificando offsets e instrucciones equivalentes. La defensa requiere detección por comportamiento y telemetría de memoria.

Ofuscación de PowerShell generada por IA

PowerShell concentra parte del ruido ofensivo en Windows. Las técnicas tradicionales (Invoke-Obfuscation, encoded commands, backticks) están cubiertas por reglas de entropía y estructura. Los LLM generan ofuscaciones más naturales con nombres de variables plausibles, operadores menos vigilados y cmdlets equivalentes poco habituales, pasando con más facilidad por filtros que esperan patrones canónicos.

Living-off-the-land binaries

Los LOLBins son binarios legítimos reutilizados para ejecución, descarga, persistencia o evasión. La lista LOLBAS cubre cientos. Un LLM ayuda a encontrar combinaciones menos vigiladas, argumentos no canónicos y secuencias atípicas. La defensa exige allowlisting estricto y monitorización de cadenas padre-hijo.

Scripts de detección de sandbox

Antes de ejecutar la carga, el malware moderno comprueba si corre en sandbox, VM o instrumentación. Los chequeos tradicionales (registro de fabricante, núcleos, procesos de análisis, sleeps) están firmados. Los LLM generan chequeos novedosos y comprobaciones contextuales del entorno objetivo, reduciendo detonación en pipelines automatizados.

Mimetismo de tráfico C2 legítimo

El canal C2 es uno de los puntos donde la red puede pillar al atacante. Los LLM ayudan a construir tráfico que imite patrones legítimos: HTTP a CDNs reales con jitter realista, abuso de SaaS conocidos, beacons en horario laboral y JSON que parece telemetría corriente. La detección requiere análisis de tráfico cifrado y baselines por host con Sigma.

Phishing lure altamente contextual

Más allá del correo genérico, los LLM permiten lures con contexto profundo: referencias a proyectos internos, tono coincidente con comunicaciones del CEO, branding exacto, llamadas a la acción adaptadas al rol. La formación de usuario pierde efectividad relativa y la defensa debe apoyarse en DMARC estricto, sandboxing de adjuntos, análisis de URLs en click time y telemetría posterior.

Limitaciones reales de los LLM ofensivos

Una descripción honesta del estado del arte exige reconocer dónde fallan los LLM y por qué siguen necesitando operador humano competente.

Alucinación de APIs y sintaxis. Los modelos inventan funciones que no existen, mezclan firmas de versiones distintas y producen código que no compila o falla en ejecución, especialmente en bibliotecas de seguridad poco representadas y versiones posteriores al corte de conocimiento.

Código que no funciona a la primera. Incluso cuando compila, una proporción significativa tiene bugs sutiles que rompen su comportamiento o lo hacen detectable. El operador necesita capacidad de depuración, no solo copiar y pegar.

Alignment que dispara salvaguardas. Los modelos comerciales reconocen patrones explícitos de uso ofensivo y rechazan, redirigen o producen salidas estériles. Las técnicas de evasión existen (role play, fragmentación, reformulación), pero introducen fricción y reducen calidad. Los modelos sin alignment compensan en disponibilidad lo que pierden en calidad técnica.

Falta de contexto del entorno objetivo. Un LLM no sabe cómo es la red del cliente ni qué EDR exacto está desplegado. El operador debe aportar reconocimiento previo y validar empíricamente.

Dependencia de validación humana. Cada artefacto pasa por revisión: el operador prueba en laboratorio, ajusta, pide variantes, integra. El LLM acelera ciclos, no sustituye experiencia ni decisiones tácticas.

Estas limitaciones explican por qué la apocalipsis del malware autónomo generado por IA todavía no se ha materializado. La amenaza es real y creciente, pero su forma actual es acelerador, no agente independiente.

Por qué el EDR basado en firmas pierde efectividad

El modelo de detección por firmas asume que el universo de muestras maliciosas es finito y catalogable. Con LLM ese supuesto se rompe: el coste marginal de generar una variante funcional baja y el universo efectivo tiende a infinito. Mantener catálogos precisos es trabajo de Sísifo y la latencia entre aparición y firmado deja ventanas de exposición incómodas.

Hay un problema adicional: muchas técnicas ofensivas modernas se apoyan en binarios legítimos y comportamientos que también realizan administradores. La frontera entre legítimo y malicioso pasa por contexto, secuencia y telemetría agregada, no por patrones estáticos en disco. Un EDR que solo mira lo primero está condenado a falsos negativos repetidos.

Las firmas siguen siendo útiles para muestras conocidas y como capa de coste bajo, pero confiar en ellas como defensa principal frente a un atacante que usa LLM es ingenuidad operativa.

Defensas que escalan frente a ataques asistidos por LLM

La buena noticia es que la defensa también tiene márgenes claros si se construye sobre las capas adecuadas. Estas son las palancas con mejor retorno en 2026.

Behavior analytics (UEBA) por encima de firmas. Detectar anomalías en patrones de uso por usuario y host es resistente a la generación infinita de variantes porque el comportamiento residual del atacante sigue siendo anómalo aunque el binario sea único: procesos hijo poco habituales, accesos atípicos, patrones temporales fuera de baseline.

EDR con detección basada en ML on-device. Las plataformas EDR maduras combinan firmas con ML entrenado sobre comportamiento. Esto incluye análisis de cadenas de proceso, evaluación de scripts en ejecución, detección de inyección de código y correlación de eventos. Validar que su EDR aporta esta capa, no solo firmas con marketing de IA, es decisivo.

Sysmon con reglas Sigma a medida. Sysmon expone telemetría sobre creación de procesos, modificaciones de registro, conexiones de red y carga de DLLs. Combinarlo con reglas Sigma curadas por el equipo y derivadas del threat hunting interno produce detección granular que ningún EDR genérico aporta de fábrica.

Threat hunting proactivo. Equipos que dedican tiempo regular a buscar hipótesis específicas (no esperar alertas) encuentran lo que los detectores automatizados pierden. El threat hunting maduro se apoya en hipótesis derivadas de inteligencia, exploración de outliers y validación iterativa.

Análisis de tráfico de red, incluso cifrado. TLS oculta payloads pero no metadatos. Tamaño de paquetes, jitter, hosts contactados, fingerprints JA3/JA4, frecuencia de beaconing y patrones de DNS aportan señales difíciles de borrar. El NDR moderno se apoya en estos vectores.

Aislamiento rápido del endpoint. Aislar el host de la red en segundos limita movimiento lateral y exfiltración. La diferencia entre tener esta capacidad y no tenerla es la diferencia entre incidente contenido y crisis prolongada.

LSA Protection y Credential Guard. Endurecer la protección de credenciales en Windows reduce el éxito de Mimikatz y variantes asistidas por LLM. Activarlos donde la compatibilidad lo permite es de las medidas con mejor relación esfuerzo a impacto.

Application allowlisting con AppLocker o WDAC. Definir qué binarios pueden ejecutarse corta de raíz una parte importante del catálogo LOLBin. Exige inversión inicial significativa, pero el resultado es defensa preventiva real.

Una arquitectura defensiva razonable combina todas estas capas. Ninguna basta sola. La combinación es lo que vuelve costoso al atacante mantener su operación.

Purple team con payloads generados por LLM

Validar la eficacia real del stack defensivo exige ejercicios purple team donde el equipo ofensivo genera cargas con LLM y el defensivo mide cobertura. Este ejercicio sustituye el marketing del proveedor por evidencia.

Un programa serio incluye varias rondas. En cada ronda el red team usa LLM para producir variantes nuevas de loaders, scripts y técnicas predefinidas; el blue team intenta detectar y, donde no detecta, se documenta el gap, se ajusta detección o configuración y se vuelve a probar. La métrica relevante no es la detección puntual de una muestra, sino el tiempo de mejora del stack contra una clase entera de variantes.

Las herramientas habituales son frameworks open como Atomic Red Team y Caldera, complementados con scripting propio y prompts curados. Algunos equipos integran el ciclo con plataformas BAS de validación continua, sustituyendo escenarios estáticos por generados.

El entregable útil es un mapa de cobertura contra MITRE ATT&CK actualizado por trimestre, con porcentaje de técnicas detectadas frente a variantes nuevas y plan priorizado. Ese mapa es la única defensa creíble contra afirmaciones genéricas de proveedores.

Threat hunting con hipótesis sobre ataques asistidos por IA

El threat hunting puede formular hipótesis específicas cuando se asume uso de LLM. Algunas líneas concretas:

Entropía anómala en PowerShell. Scripts con ofuscación creativa pueden mostrar perfiles de entropía distintos al baseline. Hunting sobre logs con cálculo por bloque y comparación con percentiles históricos saca outliers.

Longitudes y estructuras de línea de comando atípicas. Comandos generados por LLM tienden a formas verbosas, parámetros poco habituales o concatenaciones con patrones específicos. Buscar percentiles altos filtrados por proceso padre identifica candidatos.

Anomalías en cadenas padre-hijo. Un binario legítimo invocando hijos atípicos, secuencias fuera de baseline o tiempos fuera de ventana laboral son señales que sobreviven a la generación polimórfica porque el contexto operativo permanece.

Beaconing con jitter sutil. Hunting sobre conexiones agrupadas por host destino y análisis de intervalos detecta beaconing aunque el contenido esté cifrado.

Anomalías de uso de LOLBins. Frecuencia de binarios poco habituales, parámetros no canónicos y combinaciones inéditas escapan a firmas pero aparecen en hunting con baseline.

Cada hipótesis se documenta, se ejecuta sobre telemetría histórica y, si procede, se cristaliza en regla Sigma o detección continua.

Encaje regulatorio

El uso de LLM en operaciones ofensivas y su defensa no es solo cuestión técnica. La regulación europea ya lo encuadra parcialmente.

NIS2 artículo 21, letra g sobre higiene cibernética, exige a entidades esenciales e importantes adoptar prácticas básicas y avanzadas. Frente a una superficie acelerada por IA, defender solo con firmas no encaja con la diligencia exigible.

ENS en nivel alto requiere controles de detección y respuesta proporcionales. Las medidas de monitorización deben cubrir comportamiento, no solo eventos discretos, con expectativa de threat hunting y validación.

DORA exige a entidades financieras pruebas periódicas y TLPT cada tres años para entidades significativas. Incorporar técnicas asistidas por LLM en los escenarios es representación honesta del estado actual de la amenaza.

EU AI Act afecta más a proveedores de modelos y a sistemas que usan IA internamente, pero la conversación regulatoria sobre uso adversarial de modelos de propósito general evoluciona rápido.

Preguntas frecuentes

¿Puede ChatGPT generar malware funcional?

Puede generar fragmentos y variantes que un operador competente integra y depura. No produce malware end to end listo para desplegar sin trabajo humano significativo. El alignment rechaza peticiones explícitas, pero técnicas de framing reducen la resistencia. Lo útil para un actor es ahorro de tiempo, no autonomía.

¿WormGPT es amenaza real o marketing del cibercrimen?

Las dos cosas. Existieron y existen wrappers comercializados con prompts permisivos sobre modelos open weights, y estafas que se aprovechan de la marca. La capacidad técnica real está más cerca de un Llama 3 sin alignment que de una herramienta cualitativamente nueva.

¿Mi EDR detecta payloads generados por LLM?

Depende. EDR basado en firmas tiene tasas decrecientes frente a variantes nuevas. EDR con análisis de comportamiento y ML on-device aporta mejor cobertura, pero ninguna plataforma detecta el 100%. La única forma de saberlo en su entorno es validar con ejercicios purple team.

¿Es obligatorio purple team con cargas de IA?

No explícitamente en ninguna norma. Es razonable y, para DORA y entidades NIS2 con perfil alto, defendible como diligencia técnica. Auditores y reguladores preguntan cada vez más cómo se validan las afirmaciones del proveedor.

¿Behavior analytics es suficiente por sí solo?

No. Es la capa con mejor escalado frente a variantes nuevas, pero produce falsos positivos sin calibración y deja huecos contra técnicas que respetan baselines. La defensa madura combina behavior analytics, firmas, allowlisting, hardening, threat hunting y análisis de red.

¿El EU AI Act bloquea WormGPT?

Regula a proveedores y usuarios de IA dentro de la UE, no a actores criminales fuera de su alcance. Comercializar un modelo sin alignment para uso ofensivo encajaría en prohibiciones para quien opere legalmente, pero la realidad operativa del cibercrimen está fuera de su alcance directo.

Recursos relacionados

Validación purple team con Secra

En Secra ejecutamos ejercicios purple team para validar la cobertura real del stack EDR frente a cargas generadas con asistencia LLM. Metodología basada en MITRE ATT&CK, generación de variantes alineada con técnicas vistas en operaciones recientes y entregables con mapa de cobertura, gaps priorizados y plan de mejora trimestral. Trabajamos sobre Windows, Linux y entornos híbridos, y entregamos un baseline medible que sustituye marketing por evidencia reproducible.

Si su organización revisa la eficacia real de su EDR frente al estado actual de la amenaza ofensiva con IA, puede contactarnos en secra.es/contacto para conversación inicial y definir alcance.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

ofensiva

AI bug bounty: programas y recompensas por vulnerabilidades en IA 2026

AI bug bounty programs 2026: OpenAI, Anthropic, Google, Microsoft. Cómo participar, scope, rewards, prompt injection y diferencia vs bug bounty clásico.

2026-06-0814 min
ofensiva

AI red team automation 2026: herramientas, frameworks y limitaciones

AI red team automation 2026: PyRIT, Garak, Promptfoo, Counterfit y orquestación de adversarial testing continuo en pipelines LLM.

2026-06-0814 min
ofensiva

AI Red Teaming: cómo evaluar la seguridad de modelos de IA y LLMs

AI red teaming: metodología, técnicas adversariales contra LLMs (jailbreaking, prompt injection, data exfiltration), frameworks MITRE ATLAS y NIST AI RMF.

2026-06-0815 min