Durante un tiempo, el modelo de negocio de los "pocos genios" del delito informático que desarrollaban malware sofisticado como el ransomware consistió en ofrecer ese software y sus servicios a otros ciberdelincuentes con menos conocimientos. Lo hacían a través de la Dark Web y, en muchos casos, también les proporcionaban los sistemas de entrega a cambio de un porcentaje del rescate cobrado.
Sin embargo, la inteligencia artificial cambió ese esquema de forma acelerada. Incluso los delincuentes con escasa experiencia pueden usarla para llevar adelante diferentes tipos de estafas online.
Las herramientas de inteligencia artificial permiten recopilar grandes volúmenes de datos de redes sociales y otras fuentes públicas. Con esa información, los ciberdelincuentes pueden generar correos electrónicos de phishing altamente personalizados, conocidos como phishing selectivo. Estos mensajes logran ganarse la confianza de las víctimas y muchas veces las llevan a entregar información personal sensible, lo que puede derivar en robos de identidad o en pagos bajo engaño.
El acceso sencillo a tecnología de clonación de voz y video deepfake les dio a los ciberdelincuentes una nueva herramienta para ejecutar distintas estafas. Entre ellas, se destacan la estafa de los abuelos, la estafa de emergencia familiar y la conocida como estafa de correo electrónico empresarial comprometido. Este último fraude, que en sus comienzos se apoyaba en técnicas de ingeniería social, se realizaba principalmente por correo electrónico. El estafador se hacía pasar por un ejecutivo de la empresa y lograba convencer a empleados de menor rango para que autoricen pagos bajo algún pretexto. El FBI reportó que, desde su aparición en 2018 hasta diciembre de 2023, esta modalidad causó pérdidas globales por más de US$ 55.000 millones.
Con el avance de la inteligencia artificial y el uso de deepfakes y clonación de voz, los estafadores asumieron riesgos cada vez más altos. En 2024, la empresa de ingeniería Arup perdió US$ 25 millones luego de que ciberdelincuentes se hicieran pasar por su director financiero en videollamadas deepfake. Así lograron convencer a un empleado para que realizara una transferencia millonaria. Pero el problema no se detiene ahí. La amenaza sigue creciendo y las herramientas para cometer este tipo de delitos son cada vez más accesibles.
Anthropic, la empresa que desarrolló el chatbot Claude, publicó un informe en el que detalla cómo esa herramienta fue utilizada para llevar adelante ciberdelitos sofisticados. El documento describe cómo evolucionó el uso de la inteligencia artificial por parte de los ciberdelincuentes. Ya no la emplean solo para desarrollar malware, sino que ahora también la convierten en un operador activo dentro de un ciberataque, en lo que denominaron "Vibe-hacking".
Uno de los casos citados es el de GTG-5004, un ciberdelincuente con base en el Reino Unido. Usó a Claude para identificar empresas vulnerables a ataques de ransomware, escaneó miles de puntos finales de VPN en busca de sistemas débiles, y determinó cómo ingresar a las redes.
Luego desarrolló malware con capacidades de evasión para robar datos confidenciales, lo distribuyó, extrajo la información y la analizó para identificar qué contenido podía usarse para extorsionar a la empresa. Además, utilizó técnicas de psicología para redactar correos electrónicos de rescate, accedió a los registros financieros de la compañía atacada y calculó cuántos Bitcoin debía exigir a cambio de no difundir el material robado.
En solo un mes, GTG-5004 usó a Claude para atacar a 17 organizaciones vinculadas al gobierno, el sistema de salud, los servicios de emergencia y distintas instituciones religiosas. Las demandas de rescate fueron desde US$ 75.000 hasta más de US$ 500.000. Después de eso, comenzó a ofrecer servicios de ransomware bajo demanda a otros ciberdelincuentes en la Dark Web, con distintos niveles de paquetes que incluían funciones de cifrado y métodos diseñados para evadir la detección.
El informe remarcó un cambio clave: a diferencia de lo que ocurría antes, cuando los delincuentes con conocimientos avanzados vendían o alquilaban el malware que ellos mismos desarrollaban, este operador no parece contar con la capacidad técnica para implementar algoritmos de cifrado, técnicas de evasión o manipular componentes internos de Windows sin la ayuda de Claude.
Como consecuencia, un solo ciberdelincuente ahora puede hacer lo que antes requería un equipo completo con conocimientos en criptografía, sistemas internos de Windows y técnicas para evitar ser detectado. Con la ayuda de herramientas como Claude, puede desarrollar ransomware, tomar decisiones estratégicas y tácticas de forma automática, elegir los objetivos, explotarlos, sacar provecho económico y adaptarse a las defensas que encuentre en el camino. Esto aumenta la eficiencia de los ataques y, al mismo tiempo, reduce las barreras para quienes quieren cometer ciberdelitos, incluso sin contar con conocimientos técnicos avanzados.
El informe también expuso cómo agentes norcoreanos estaban usando herramientas de inteligencia artificial para conseguir trabajos remotos en empresas tecnológicas. Antes, estas operaciones dependían de trabajadores de TI con alta formación, reclutados y entrenados desde muy jóvenes en Corea del Norte. Pero ahora, según el informe, "la IA se convirtió en el principal factor que permite a los operadores con habilidades técnicas limitadas infiltrarse y mantener puestos con éxito en empresas tecnológicas occidentales".
El informe también reveló que, gracias a la inteligencia artificial, operadores norcoreanos sin conocimientos para escribir código básico ni capacidad para comunicarse en inglés lograron superar entrevistas y conseguir empleo en empresas tecnológicas que facturan cientos de millones de dólares al año. Esas compañías, sin saberlo, terminan financiando los programas armamentísticos de Corea del Norte. Además, el documento advirtió que, con la ayuda de la IA, cada operador puede mantener varios puestos de trabajo en empresas tecnológicas de Estados Unidos, algo que antes hubiera sido imposible.
Anthropic respondió a las amenazas detectadas al bloquear las cuentas vinculadas a estas operaciones y desarrollar un clasificador específico para identificar este tipo de actividad. También integró nuevas herramientas de detección en sus sistemas de seguridad actuales. Además, compartió sus hallazgos con otras empresas del sector y con la comunidad especializada en ciberseguridad, con el objetivo de ayudar a identificar y frenar las amenazas que implican los delincuentes que utilizan plataformas de inteligencia artificial. Aun así, el uso de la IA en ciberdelitos representa una amenaza inminente.
El informe de Anthropic es, sin dudas, una advertencia seria para toda la industria tecnológica.
