El grupo de hackers Kimsuky, vinculado al Estado de Corea del Norte, fue acusado de usar ChatGPT para generar identificaciones militares surcoreanas falsas como parte de una campaña de phishing dirigida a organizaciones de defensa. El ataque, detectado por la firma surcoreana de ciberseguridad Genians Security Center en julio de 2025, marca un avance significativo en las tácticas de ciberespionaje del régimen, al combinar inteligencia artificial y técnicas de ingenierÃa social.
Según los investigadores, Kimsuky logró sortear las restricciones de ChatGPT para generar documentos gubernamentales al presentar sus solicitudes como "maquetas" o "diseños de muestra con fines legÃtimos", evitando asà las limitaciones que impiden la creación de credenciales reales. El análisis de los metadatos reveló que las imágenes de las identificaciones fueron creadas con el modelo GPT-4o de OpenAI, y un software de detección de deepfakes indicó una probabilidad del 98% de que estas tarjetas fueran generadas mediante IA.
Correos electrónicos maliciosos y malware
Los atacantes enviaron correos electrónicos que imitaban comunicaciones oficiales de defensa surcoreanas, utilizando dominios falsos como ".mli.kr" para aparentar direcciones legÃtimas terminadas en ".mil.kr". Los destinatarios recibÃan archivos comprimidos que simulaban contener borradores de credenciales militares; al abrirlos, se activaba un malware capaz de extraer datos y controlar los sistemas de manera remota.
IA como herramienta estratégica de ciberespionaje
El caso forma parte de un patrón más amplio de Corea del Norte para explotar la inteligencia artificial en la recopilación de información y la evasión de sanciones. Un informe de Anthropic de agosto de 2025 indicó que trabajadores informáticos norcoreanos han usado sistemáticamente el modelo Claude AI para crear currÃculums falsos, aprobar evaluaciones técnicas y mantener empleos remotos en empresas Fortune 500, con alrededor del 80% del uso vinculado a actividades de mantenimiento de empleo fraudulento.
Mun Chong-hyun, director en Genians, destacó que los atacantes ahora integran la IA en todas sus operaciones, incluyendo el planeamiento de ataques, desarrollo de malware, creación de herramientas propias e impersonación de reclutadores. El Departamento de Seguridad Nacional de EE.UU. ya evaluó que Kimsuky “probablemente opera bajo encargo del régimen norcoreano con una misión global de recopilación de inteligencia”.
Objetivos y riesgos para la seguridad
Los principales blancos de la campaña de phishing fueron periodistas, investigadores y activistas de derechos humanos surcoreanos enfocados en Corea del Norte. Aunque el número exacto de vÃctimas sigue siendo incierto, la sofisticación de las herramientas deepfake utilizadas sugiere un alto riesgo de infiltración en redes sensibles vinculadas a la defensa.
Genians advirtió sobre el creciente peligro que representa el uso indebido de la IA en contextos de seguridad nacional: “Si bien los servicios de IA ofrecen comodidad en el lugar de trabajo, también conllevan el riesgo de ser explotados para operaciones cibernéticas con posibles consecuencias para la seguridad nacional”. La empresa recomendó a las organizaciones implementar sistemas de detección y respuesta en endpoints y mantener una monitorización continua para contrarrestar ataques potenciados por inteligencia artificial.