Google detecta más de 100.000 intentos de clonar Gemini mediante ingeniería inversa

Google ha revelado que su modelo de inteligencia artificial Gemini ha sido objeto de múltiples intentos de clonación durante 2025. Según el informe trimestral publicado por el grupo de inteligencia de amenazas de la compañía, detectaron una campaña que realizó más de 100.000 consultas al modelo en diversos idiomas con el objetivo de extraer su conocimiento y replicarlo en un sistema propio.

La técnica empleada se conoce como "extracción de modelos" o "destilación", y permite a terceros crear versiones económicas de modelos de IA avanzados sin invertir los miles de millones de dólares que requiere su desarrollo. Google considera esta práctica como robo de propiedad intelectual y una violación de sus términos de servicio, aunque la posición resulta algo controvertida dado que Gemini se entrenó con materiales extraídos de Internet sin permiso expreso.

¿Qué es la destilación de modelos y cómo funciona?

La destilación de modelos es una técnica de aprendizaje automático que permite crear un modelo estudiante a partir de un modelo maestro ya existente. El proceso es relativamente sencillo: se alimenta al modelo original con miles de preguntas cuidadosamente seleccionadas, se recopilan todas las respuestas y después se utilizan esos pares de entrada-salida para entrenar un modelo más pequeño y económico.

El modelo resultante nunca ve el código fuente ni los datos de entrenamiento del original, pero al estudiar suficientes respuestas puede aprender a replicar muchas de sus capacidades. Para que te hagas una idea, es como intentar descifrar una receta probando una y otra vez el plato. El modelo clonado no será perfecto, pero puede resultar mucho más eficiente que intentar construir uno desde cero con datos aleatorios de Internet.

En el caso detectado por Google, los atacantes se centraron específicamente en extraer los procesos de razonamiento interno de Gemini, intentando forzar al modelo a revelar cómo llegaba a sus conclusiones en idiomas distintos al inglés. Google identificó el patrón en tiempo real y aplicó defensas que redujeron la efectividad del ataque, protegiendo las trazas de razonamiento internas del sistema.

Grupos de ciberespionaje también usan Gemini para operaciones

Además de los intentos de clonación comercial, el informe revela que actores respaldados por gobiernos de Corea del Norte, Irán, China y Rusia han estado utilizando Gemini como herramienta para acelerar sus operaciones. El grupo iraní APT42, por ejemplo, usó Gemini para realizar reconocimiento detallado sobre objetivos específicos y crear perfiles creíbles para campañas de ingeniería social.

El actor norcoreano UNC2970, conocido por hacerse pasar por reclutadores corporativos, empleó Gemini para sintetizar información de fuentes abiertas y perfilar objetivos de alto valor en empresas de ciberseguridad y defensa. El grupo chino APT31 fue más allá e intentó crear capacidades de auditoría de código integradas con IA, demostrando interés en desarrollar sistemas autónomos de análisis de vulnerabilidades.

Google también documentó el caso de HONESTCUE, una familia de malware que emplea directamente la API de Gemini para generar código malicioso sobre la marcha. El malware envía una consulta aparentemente inocua a Gemini solicitando código en C#, recibe la respuesta y luego compila y ejecuta ese código directamente en memoria sin dejar rastros en el disco. Esta técnica dificulta la detección mediante análisis estático tradicional.

La compañía ha deshabilitado las cuentas asociadas con estos actores y ha actualizado tanto los clasificadores como el propio modelo para rechazar este tipo de solicitudes en el futuro. Sin embargo, la realidad es que, mientras un modelo de IA sea accesible públicamente, no existe una barrera técnica completamente infalible que impida a un actor determinado intentar extraer sus capacidades mediante destilación, algo que el propio Google habría practicado según reportes de 2023 cuando su equipo de Bard habría usado datos de ChatGPT para entrenar su chatbot.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!