Ataques más sofisticados y borrado del rastro digital: así usa la IA la ciberdelincuencia

La Voz REDACCIÓN

ACTUALIDAD

Una persona hace uso de un «chatbot» de inteligencia artificial
Una persona hace uso de un «chatbot» de inteligencia artificial ArtistGNDphotography

La inteligencia artificial generativa usa textos realistas que borran gran parte de los rasgos que identificaban los investigadores

03 abr 2026 . Actualizado a las 12:34 h.

Ataques más precisos y borrado del rastro digital. El ciberdelito echa mano de la inteligencia artificial para crear modelos mejor dirigidos y con menos posibilidades de identificación. Así lo explica el informe sobre Predicciones de Amenazas Persistentes Avanzadas (APT, en inglés) de la compañía de ciberseguridad Kaspersky en el que ilustra cómo evolucionará el panorama de amenazas durante este año. Uno de los puntos clave de este estudio tiene que ver con que cada vez será más complicado para los equipos de investigación llegar a atribuir este tipo de ataques. El uso de la IA generativa no solo representa un problema a nivel de la sofisticación en las operaciones, sino que también está motivando un cambio en la «huella digital» de los atacantes. Es decir, en el rastro que dejan y que puede permitir dar con su origen. A la hora de generar un ciberataque, componentes como el código, el contenido de phishing y los comentarios internos de los ciberdelincuentes habitualmente contienen errores o matices distintivos. Por ejemplo, rasgos lingüísticos concretos o patrones de programación determinados. Una auténtica seña de identidad, una huella digital, en la que los analistas pueden basarse, como el estilo de codificación o los errores característicos de los hablantes nativos de ciertos idiomas, para intentar atribuir los ciberataques a grupos maliciosos o ciberdelincuentes específicos o ya conocidos.

¿Qué sucede en este escenario con la IA generativa? Lo diferencial en este momento es que, cuando se producen los ataques, son los modelos de IA los encargados de generar desde el código malicioso hasta los correos electrónicos de phishing. Por tanto, los resultados se han convertido en «neutrales y estandarizados», eliminando por completo los errores o rasgos que podían distinguir al actor o grupo malicioso en cuestión. Es decir, los investigadores de ciberataques ya no pueden buscar este tipo de características y rasgos para intentar averiguar de dónde provienen y, cuanto mayor adopción de la IA por parte de los ciberdelincuentes, «es probable que estas señales pierdan fiabilidad».

Según este informe, durante los primeros meses del 2026, se ha aumentado el uso de IA agéntica para desarrollar herramientas maliciosas avanzadas en cuestión de días, en lugar de los meses que se necesitaban anteriormente, incluyendo equipos más técnicos. Un ejemplo de este cambio lo ha protagonizado VoidLink, que hace unas semanas ponía sobre la mesa una nueva era en el cibercrimen como el primer malware creado prácticamente en su totalidad por una inteligencia artificial. VoidLink es un marco de desarrollo diseñado para atacar entornos en la nube, con gran capacidad de adaptación, que los cibercriminales pueden personalizar con cargadores, implantes, rootkits y otros complementos para atacar para infraestructuras modernas.

La investigación de Check Point Research, que comenzaba en diciembre del 2025, desvelaba que se trata del «primer caso documentado de un marco de malware avanzado creado casi en su totalidad por inteligencia artificial», como explicaban en su web oficial, apuntando además a que hay «evidencia clara» de que el desarrollo de VoidLink lo hizo principalmente una IA, consiguiendo en poco tiempo lo que normalmente requiere varios equipos coordinados y altos recursos. De este rastreo también concluyen que, «probablemente», el desarrollo por parte de la IA se hizo «bajo la dirección de una sola persona». 

«Definen el proyecto basándose en pautas generales y una base de código existente, luego hacen que la IA traduzca esas pautas en una arquitectura y cree un plan en tres equipos separados, junto con estrictas pautas y restricciones de codificación, y solo después ejecutan el agente para ejecutar la implementación», relatan, insistiendo en que la era del malware sofisticado solo acaba de comenzar. 

Hace solo unas semanas, saltaba a la actualidad otro ejemplo, Slopoly, que se ha utilizado en campañas de extorsión a gran escala y que ha permitido a los cibercriminales mantenerse en un servidor durante una semana.

Los investigadores de IBM X-Force detectaron el despliegue de Slopoly a principios del 2026, vinculado al grupo Hive0163, que ya ha ejecutado importantes ataques a nivel global. Esta nueva amenaza apareció como un script en un servidor infectado vinculado a un ataque de ransoware, que actúa como una puerta de entrada y recopila y envía información a un servidor C2. Una particularidad de este script es que envía una señal de actividad cada 30 segundos y solicita un nuevo comando cada 50 segundos, lo que permitió a los atacantes tener un acceso persistente al servidor durante una semana.

Los investigadores consideran que, aunque su desarrollo no es crítico desde el punto de vista técnico, sí que «da facilidades a los actores de la amenaza al reducir el tiempo que un operador necesita para desarrollar y ejecutar un ataque».

Ya en el 2024, el grupo Lazarus utilizó imágenes generadas a través de inteligencia artificial para explotar una vulnerabilidad de día cero en Chrome y robar criptomonedas. «La IA es un arma de doble filo: mientras los ciberdelincuentes la usan para potenciar sus ataques, los defensores pueden aprovechar su poder para detectar amenazas más rápidamente y fortalecer los protocolos de seguridad», apunta Maher Yamout, analista principal de seguridad en GReAT de Kaspersky.

Desde Incibe, el Instituto Nacional de Ciberseguridad, explican que «los creadores de malware utilizan plataformas de IA, como puede ser ChatGPT, para acelerar la creación de su código, solicitando funcionalidades específicas que luego integran en sus códigos maliciosos». También apuntan a la inteligencia artificial generativa por su capacidad de crear textos de enorme realismo, «correos electrónicos de spam, phishing o mensajes SMS de smishing, aprovechando su capacidad para crear texto creíble en varios idiomas. La IA también puede generar anuncios que promocionan productos falsos o servicios fraudulentos», incluso perfiles falsos en las redes sociales. 

Las reacciones

Las principales empresas tecnológicas, entre ellas Google, Meta y Microsoft, han firmado el llamado «Acuerdo de Servicios Online contra Estafas» para combatir las amenazas y el contenido engañoso en sus plataformas y aplicaciones. «Como industria, unificaremos nuestras capacidades colectivas, compartiremos información sobre amenazas y coordinaremos las defensas para combatir a los estafadores globales», explicaban desde Google.

Entre las medidas que contempla este acuerdo se encuentra implementar nuevas herramientas de prevención, incluidos sistemas de inteligencia artificial (IA), para detectar el fraude con mayor rapidez y eficacia; una verificación más rigurosa de las transacciones económicas dentro de las plataformas; y proporcionar canales de denuncia para las víctimas.