En un
informe publicado esta semana, Group-IB describió la
«IA como el motor de una quinta ola» en la evolución del cibercrimen»,
ofreciendo herramientas listas para usar que permiten ataques sofisticados.
Los adversarios están industrializando la IA, convirtiendo habilidades que
antes eran especializadas, como la persuasión, la suplantación de identidad y
el desarrollo de malware, en servicios bajo demanda disponibles para cualquier
persona con una tarjeta de crédito.
El informe técnico «IA armada: dentro del ecosistema criminal que impulsa la quinta ola de
ciberdelincuencia», revela cómo la IA está transformando el ecosistema criminal e impulsando la
quinta ola de ciberdelincuencia.
La empresa de ciberseguridad con sede en Singapur señaló que las publicaciones
en foros de la dark web con palabras clave de IA han aumento, con actores de
amenazas anunciando
Dark LLMs como
Nytheon AI, que no tienen restricciones éticas, marcos de jailbreak y kits de
identidad sintética que ofrecen actores de video de IA, voces clonadas e
incluso conjuntos de datos biométricos por tan solo 5 dólares.
«La IA ha industrializado el cibercrimen. Lo que antes requería operadores
cualificados y tiempo ahora se puede comprar, automatizar y escalar
globalmente», afirmó Craig Jones, exdirector de cibercrimen de INTERPOL y asesor
estratégico independiente.
Si bien la IA no ha creado nuevos motivos para los ciberdelincuentes (el
dinero, el apalancamiento y el acceso siguen impulsando el ecosistema), sí ha
aumentado drásticamente la velocidad, la escala y la sofisticación con que se
persiguen dichos motivos.
Olas y crecimiento
En los últimos treinta años, la ciberdelincuencia ha evolucionado a través de
sucesivas oleadas, desde el phishing manual a finales de los 90 y el
ransomware industrializado, hasta los ataques a la cadena de suministro y al
ecosistema que caracterizaron a principios de la década de 2020. Group-IB ha
descubierto un aumento del 371% en las publicaciones en foros de la dark web
con palabras clave de IA desde 2019, y un aumento de diez veces en las
respuestas (1.199%).
Ahora, los adversarios están industrializando la IA, convirtiendo habilidades
que antes eran especializadas, como la persuasión, la suplantación de
identidad y el desarrollo de malware, en servicios bajo demanda disponibles
para cualquier persona con una tarjeta de crédito.
La quinta ola de ciberdelincuencia
La infiltración de Group-IB en foros de la dark web y mercados clandestinos,
descubierta en 2025, lideró las discusiones en la dark web, con 23.621
publicaciones y 298.231 respuestas. El interés alcanzó su punto máximo en 2023
tras el lanzamiento de ChatGPT al público general a finales de 2022, con más
de 300.000 respuestas a publicaciones sobre IA, coincidiendo con el
lanzamiento de GPT-4 y la creciente preocupación regulatoria y social.
A diferencia de las anteriores oleadas de ciberdelincuencia, la adopción de
la IA por parte de los actores de amenazas ha sido sorprendentemente
rápida.
La IA está ahora firmemente integrada como infraestructura central en todo el
ecosistema criminal, en lugar de ser un exploit ocasional.
Crimeware por el precio de una suscripción a Netflix
Las investigaciones de Group-IB sugieren que algunos tipos de vendedores
comercializan y empaquetan de forma rutinaria crimeware de IA a compradores
menos cualificados en mercados clandestinos, lo que facilita el acceso a
ataques sofisticados a principiantes. Los proveedores están imitando aspectos
de los negocios SaaS legítimos, desde los niveles de precios y los modelos de
suscripción hasta la atención al cliente. El software malicioso de IA suele
clasificarse en tres categorías principales: explotación de LLM,
automatización de phishing e ingeniería social, y malware y herramientas.
Estas ofertas de la dark web son asequibles y suelen agruparse para hacerlas
más atractivas para los compradores potenciales.
Servicios IA de la ciberdelincuencia moderna
-
Dark LLM: Los actores de amenazas están dejando atrás el uso indebido de
chatbots y creando LLM oscuros propietarios, más estables, eficaces y sin
restricciones éticas. Group-IB identifica al menos tres proveedores activos
que ofrecen LLM oscuros con suscripciones que oscilan entre 30 y 200 dólares
al mes, y una base de clientes que supera los 1.000 usuarios. -
Servicios e instrucciones de framework de jailbreak: el
jailbreak permite a los LLM legítimos generar contenido no permitido,
inseguro o malicioso mediante plantillas reutilizables o instrucciones para
eludir las barreras de seguridad. Group-IB descubrió que, para finales del
tercer trimestre de 2025, el volumen de estas publicaciones casi igualó el
volumen total de 2024, centrándose principalmente en los modelos ChatGPT y
OpenAI. -
Deepfake como servicio: el monitoreo de foros de la
dark web por parte de Group-IB revela un mercado floreciente de
«kits de identidad sintética» que ofrecen actores de video con IA,
voces clonadas e incluso conjuntos de datos biométricos por tan solo 5 USD.
Los analistas de Group-IB detectaron y exportaron más de 300 publicaciones
en la dark web entre 2022 y septiembre de 2025 que hacían referencia
a «deepfake» y «KYC», con un aumento del 52% en los nombres de usuario
únicos en 2025. Los atacantes están recopilando muestras de audio de tan
solo 10 segundos de redes sociales, seminarios web o incluso llamadas
telefónicas anteriores para crear clones convincentes.