Skip to contentAddress
304 North Cardinal St.
Dorchester Center, MA 02124
Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM
Los ciberdelincuentes utilizan cada vez más herramientas de IA generativa para impulsar sus ataques, y nuevas investigaciones han descubierto casos de uso de IA para desarrollar ransomware.
A medida que aumenta el cibercrimen en todo el mundo, nuevas investigaciones demuestran cada vez más que el ransomware está evolucionando gracias a la amplia disponibilidad de herramientas de IA generativa. En algunos casos, los atacantes utilizan la IA para redactar notas de rescate más intimidantes y coercitivas y llevar a cabo ataques de extorsión más efectivos. Sin embargo, el uso de la IA generativa por parte de los ciberdelincuentes se está volviendo cada vez más sofisticado. Investigadores de la empresa de IA generativa Anthropic revelaron hoy que los atacantes recurren cada vez más a la IA generativa, a veces por completo, para desarrollar malware y ofrecer servicios de ransomware a otros ciberdelincuentes.
Recientemente, se ha identificado a delincuentes de ransomware que utilizan el modelo de lenguaje grande Claude de Anthropic y su modelo específico de codificación, Claude Code, en el proceso de desarrollo de ransomware, según el informe de inteligencia de amenazas publicado recientemente por la compañía . Los hallazgos de Anthropic se suman a otra investigación realizada esta semana por la firma de seguridad ESET, que destaca una aparente prueba de concepto para un tipo de ataque de ransomware ejecutado íntegramente por LLM locales que se ejecutan en un servidor malicioso.
En conjunto, ambos conjuntos de hallazgos destacan cómo la IA generativa impulsa el cibercrimen y facilita que los atacantes, incluso aquellos sin habilidades técnicas ni experiencia en ransomware, ejecuten dichos ataques. «Nuestra investigación reveló no solo otra variante de ransomware, sino una transformación facilitada por la inteligencia artificial que elimina las barreras técnicas tradicionales para el desarrollo de malware novedoso», escribieron los investigadores del equipo de inteligencia de amenazas de Anthropic.
Durante la última década, el ransomware ha demostrado ser un problema insoluble. Los atacantes se han vuelto cada vez más despiadados e innovadores, por lo que las víctimas seguirán
pagando . Según algunas estimaciones , el número de ataques de ransomware alcanzó máximos históricos a principios de 2025, y los delincuentes siguen ganando cientos de millones de dólares al año . Como lo expresó el exjefe de la Agencia de Seguridad Nacional de EE. UU. y del Comando Cibernético, Paul Nakasone , en la conferencia de seguridad Defcon en Las Vegas a principios de este mes: «No estamos avanzando contra el ransomware».
Añadir IA al ya peligroso cóctel de ransomware solo aumenta las posibilidades de los hackers. Según la investigación de Anthropic, un cibercriminal con sede en el Reino Unido, identificado como GTG-5004 y activo desde principios de este año, utilizó a Claude para desarrollar, comercializar y distribuir ransomware con capacidades avanzadas de evasión.
En foros de ciberdelincuencia, GTG-5004 ha estado vendiendo servicios de ransomware con precios que oscilan entre los 400 y los 1200 dólares, con diferentes herramientas para distintos niveles de paquete, según la investigación de Anthropic. La compañía afirma que, si bien los productos de GTG-5004 incluyen diversas capacidades de cifrado, diversas herramientas de fiabilidad de software y métodos diseñados para ayudar a los hackers a evitar ser detectados, parece que el desarrollador carece de habilidades técnicas. «Este operador no parece capaz de implementar algoritmos de cifrado, técnicas antianálisis ni manipular el funcionamiento interno de Windows sin la ayuda de Claude», escriben los investigadores.
Anthropic afirma haber bloqueado la cuenta vinculada a la operación de ransomware e introducido nuevos métodos para detectar y prevenir la generación de malware en sus plataformas. Estos incluyen el uso de la detección de patrones, conocida como reglas YARA, para buscar malware y hashes de malware que puedan estar subidos a sus plataformas.
Si bien hasta ahora dicha actividad no parece ser la norma en el ecosistema de ransomware, los hallazgos representan una dura advertencia.
“Sin duda, algunos grupos utilizan la IA para facilitar el desarrollo de módulos de ransomware y malware, pero, según datos de Recorded Future, la mayoría no lo hace”, afirma Allan Liska, analista de la firma de seguridad Recorded Future, especializada en ransomware. “Donde sí observamos un mayor uso de la IA es en el acceso inicial”.
Por otra parte, investigadores de la empresa de ciberseguridad ESET afirmaron esta semana haber descubierto el “primer ransomware conocido basado en IA”, denominado PromptLock. Los investigadores afirman que el malware, que se ejecuta principalmente localmente en una máquina y utiliza un modelo de IA de código abierto de OpenAI, puede generar scripts Lua maliciosos sobre la marcha y los utiliza para inspeccionar los archivos que los hackers podrían estar atacando, robar datos e implementar el cifrado. ESET cree que el código es una prueba de concepto que aparentemente no se ha implementado contra las víctimas, pero los investigadores enfatizan que ilustra cómo los ciberdelincuentes están comenzando a utilizar los LLM como parte de sus herramientas.
“La implementación de ransomware asistido por IA presenta ciertos desafíos, principalmente debido al gran tamaño de los modelos de IA y sus altos requisitos computacionales. Sin embargo, es posible que los ciberdelincuentes encuentren maneras de sortear estas limitaciones”, escribieron en un correo electrónico a WIRED los investigadores de malware de ESET, Anton Cherepanov y Peter Strycek, quienes descubrieron el nuevo ransomware. “En cuanto al desarrollo, es casi seguro que los actores de amenazas están explorando activamente este campo, y es probable que veamos más intentos de crear amenazas cada vez más sofisticadas”.
Aunque PromptLock no se ha utilizado en el mundo real, los hallazgos de Anthropic subrayan aún más la velocidad con la que los ciberdelincuentes están integrando LLM en sus operaciones e infraestructura. La empresa de inteligencia artificial también detectó otro grupo ciberdelincuente, al que rastrea como GTG-2002, que utiliza Claude Code para encontrar automáticamente objetivos que atacar, acceder a las redes de las víctimas, desarrollar malware y, posteriormente, exfiltrar datos, analizar lo robado y redactar una nota de rescate.
En el último mes, este ataque afectó a al menos 17 organizaciones gubernamentales, sanitarias, de servicios de emergencia e instituciones religiosas, según Anthropic, sin identificar a ninguna de ellas. «La operación demuestra una preocupante evolución en la ciberdelincuencia asistida por IA», escribieron los investigadores de Anthropic en su informe, «donde la IA actúa tanto como consultor técnico como operador activo, lo que permite ataques que serían más difíciles y lentos de ejecutar manualmente para actores individuales».
