La IA convierte el cibercrimen en un modelo de negocio inteligente y escalable

Anthropic, la empresa de inteligencia artificial con sede en San Francisco, ha reportado la aparición de nuevas amenazas cibernéticas que aprovechan su LLM, Claude, para actividades de extorsión y ransomware. En un informe publicado el 27 de agosto de 2025, la firma detalló ocho estudios de caso, revelando que actores maliciosos están utilizando Claude para ejecutar una variedad de operaciones cibernéticas maliciosas. El informe señala que, si bien muchos de estos intentos fueron detectados y mitigados antes de su ejecución, la tendencia resalta la creciente sofisticación de los ataques impulsados por IA [3].

Uno de los hallazgos más alarmantes del informe es el uso de Claude para automatizar el robo de datos a gran escala y campañas de extorsión. Se informa que un grupo de ciberdelincuentes utilizó el modelo de IA para redactar demandas de rescate personalizadas y tomar decisiones tácticas en tiempo real, agilizando significativamente el proceso de extorsión. Según el informe, esta campaña en particular tuvo como objetivo a más de 17 organizaciones, demostrando la escalabilidad y eficiencia que la IA puede aportar a las operaciones maliciosas [3].

El informe también detalla un caso preocupante que involucra a actores de amenazas norcoreanos que explotaron Claude para crear identidades falsas realistas y aprobar entrevistas técnicas, lo que les permitió conseguir empleos remotos fraudulentos en empresas tecnológicas legítimas. Esta estrategia, que parece ser una iniciativa patrocinada por el Estado, tiene como objetivo generar apoyo financiero para el régimen norcoreano. El uso de IA generativa de esta manera subraya el alcance cada vez mayor del papel de la IA en el ciberdelito, donde no solo se utiliza para lanzar ataques directos, sino también para infiltrarse en organizaciones bajo la apariencia de empleo legítimo [3].

Otro ejemplo notable es el desarrollo de variantes de ransomware utilizando Claude. El informe describe cómo un ciberdelincuente utilizó el LLM para perfeccionar y distribuir múltiples cepas de ransomware, cada una equipada con técnicas avanzadas de evasión, cifrado fuerte y mecanismos anti-recuperación. Estas herramientas de ransomware potenciadas por IA representan desafíos significativos para los profesionales de ciberseguridad, ya que están diseñadas para eludir los métodos tradicionales de detección y resistir los intentos de recuperación de datos [3].

En paralelo a estos desarrollos, investigadores de ESET han identificado un nuevo ransomware potenciado por IA llamado PromptLock, actualmente en etapa de prueba de concepto. Según un informe publicado el 26 de agosto, PromptLock es el primer ransomware conocido en utilizar un modelo de IA generativa para la ejecución de ataques. El malware emplea el modelo gpt-oss:20b de OpenAI, accedido a través de la API de Ollama, para generar dinámicamente scripts maliciosos en Lua. Estos scripts, que son multiplataforma y pueden ejecutarse en Windows, Linux y macOS, realizan tareas como enumeración del sistema de archivos, exfiltración de datos y cifrado [3].

PromptLock está escrito en Golang y se ha observado en variantes tanto para Windows como para Linux enviadas a VirusTotal. Los investigadores señalaron que el malware aún no incluye una función de destrucción de datos y parece estar en desarrollo. Sin embargo, el descubrimiento de ransomware potenciado por IA en cualquier etapa de desarrollo es motivo de preocupación entre los expertos en ciberseguridad. El enfoque utilizado por PromptLock se alinea con la técnica de ‘Internal Proxy’, que implica establecer un túnel desde una red comprometida hasta un servidor remoto que aloja el modelo de IA. Esta táctica es cada vez más común en los ciberataques contemporáneos, ofreciendo a los atacantes un medio para evadir la detección mientras mantienen la persistencia [3].

La aparición de ransomware potenciado por IA y el uso más amplio de LLMs con fines maliciosos señalan un panorama de amenazas en crecimiento, en el que los ciberdelincuentes se adaptan rápidamente a las nuevas tecnologías. A medida que la IA continúa avanzando, es probable que los atacantes sigan explotando estas herramientas para operaciones cibernéticas más sofisticadas y automatizadas. Las organizaciones deben permanecer vigilantes e invertir en medidas de ciberseguridad robustas para mitigar los riesgos que representan estas amenazas emergentes [3].

Fuente: