Redazione RHC : 28 agosto 2025 13:55
Los ciberdelincuentes están dominando rápidamente la IA generativa, y ya no hablamos de notas de rescate aterradoras, sino del desarrollo completo de malware. El equipo de investigación de Anthropic informó que los atacantes recurren cada vez más a grandes modelos de lenguaje a lo largo de todo el ciclo de vida de la creación y venta de herramientas de cifrado de datos.
Paralelamente, ESET describió un concepto de ataque en el que los modelos locales, del lado del atacante, asumen los pasos clave de la extorsión. Los hallazgos generales muestran cómo la inteligencia artificial elimina las barreras técnicas y acelera la evolución de los esquemas de ransomware.
Según Anthropic, los extorsionadores utilizan a Claude no solo para preparar textos y escenarios de negociación, sino también para generar código, probar y empaquetar programas, y lanzar servicios según el modelo de «crimen como servicio». La actividad fue registrada por un operador del Reino Unido, con el identificador GTG-5004.
Desde principios de año, el operador ha estado ofreciendo kits de ataque en foros clandestinos a precios que oscilan entre los 400 y los 1200 dólares, dependiendo del nivel de configuración. Las descripciones incluían varias opciones de cifrado, herramientas para aumentar la fiabilidad operativa y técnicas para evadir la detección. Al mismo tiempo, según Anthropic, el creador carece de conocimientos profundos de criptografía, técnicas de contraanálisis ni del funcionamiento interno de Windows. Corrigió estas deficiencias con la ayuda de sugerencias y la generación automática de Claude.
La compañía ha bloqueado las cuentas afectadas e implementado filtros adicionales en su plataforma, incluyendo reglas para reconocer patrones de código distintivos y comprobaciones basadas en firmas en las muestras cargadas, para evitar intentos de convertir la IA en una fábrica de malware por adelantado. Esto no significa que la IA ya esté produciendo en masa todos los troyanos criptográficos modernos, pero la tendencia es alarmante: incluso los operadores inexpertos están obteniendo una ventaja que antes solo estaba disponible para grupos con conocimientos tecnológicos.
El entorno de la industria solo añade leña al fuego. En los últimos años, los extorsionadores se han vuelto más agresivos e ingeniosos, y las métricas para principios de 2025 apuntaban a volúmenes récord de incidentes y ganancias multimillonarias para los delincuentes. En las conferencias del sector, se reconoció que el progreso sistémico en la lucha contra la extorsión aún no es visible. En este contexto, la inteligencia artificial promete no solo una adaptación superficial de la extorsión, sino también una expansión del arsenal, desde la fase de penetración hasta el análisis automatizado de los datos robados y la formulación de demandas.
Un capítulo aparte es la demostración de ESET llamada PromptLock (que analizamos ayer). Es un prototipo en el que un modelo implementado localmente puede generar scripts Lua sobre la marcha para inventariar archivos de destino, robar contenido e iniciar el cifrado. Los autores enfatizan que se trata de un concepto, no de una herramienta presente en ataques reales, pero ilustra un cambio: los modelos grandes ya no son solo una «indicación» basada en la nube y se están convirtiendo en un componente independiente de la infraestructura del atacante. Si bien la IA local requiere recursos y espacio, las estrategias para optimizar y simplificar la inferencia eliminan algunas de las limitaciones, y los ciberdelincuentes ya están explorando estas posibilidades. El informe de Anthropic también describe otro clúster, identificado como GTG-2002. En este caso, se utilizó Claude Code para seleccionar automáticamente los objetivos, preparar las herramientas de acceso, desarrollar y modificar malware, y luego exfiltrar y marcar los datos robados. En última instancia, la propia IA ayudó a generar demandas de rescate basadas en el valor de lo encontrado en los archivos. En el último mes, la compañía estima que al menos diecisiete organizaciones del sector público, la salud, los servicios de emergencia e instituciones religiosas se han visto afectadas, sin revelar sus nombres. Esta arquitectura muestra cómo el modelo se convierte tanto en «consultor» como en «operador», reduciendo el tiempo entre el reconocimiento y la monetización.
Algunos analistas señalan que la dependencia total de la IA en el ransomware aún no se ha convertido en la norma, y que los modelos se utilizan más comúnmente como primer paso en el desarrollo, para la ingeniería social y el acceso inicial. Sin embargo, el panorama emergente ya está cambiando el equilibrio de poder: las suscripciones asequibles, el desarrollo de código abierto y las herramientas de implementación local hacen que el desarrollo y el mantenimiento de las operaciones de ransomware sean más accesibles que nunca.
Si esta dinámica continúa, los defensores deberán considerar no solo los nuevos binarios, sino también las cadenas de toma de decisiones de las máquinas que los producen, prueban y distribuyen.
RedazioneConocemos al hombre considerado uno de los científicos más polifacéticos y brillantes del siglo pasado, quizá solo comparable a Einstein. Poseía un amplio abanico de talentos científicos, desarr...
Muchos de nosotros crecimos con Hiroshi Shiba, de Jeeg, el robot de acero que hablaba con su difunto padre, el profesor Senjiro Shiba, científico y arqueólogo, dentro de una gran computadora. En un ...
Los atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
