La inteligencia artificial complica la atribución de ciberataques

Kaspersky advierte de que la adopción de IA generativa por parte de los ciberdelincuentes está erosionando los indicadores tradicionales que permitían atribuir ataques. El contenido generado por modelos de lenguaje, desde código malicioso hasta correos de phishing, presenta un estilo más uniforme, sin los errores, patrones o estilos de programación que antes delataban a los autores.

El informe señala que la IA ya interviene en múltiples fases del desarrollo de malware. Los grandes modelos de lenguaje pueden generar desde la estructura inicial de un programa malicioso hasta módulos funcionales completos. Kaspersky destaca que esta capacidad reduce drásticamente el tiempo y el coste necesarios para crear nuevas variantes, lo que permite a los atacantes iterar y escalar sus operaciones con mayor rapidez.

 

Campañas reales ya muestran desarrollo asistido por IA

Los investigadores han identificado casos concretos donde la IA ha sido utilizada para crear malware operativo. El grupo FunkSec empleó herramientas de IA para desarrollar código en Rust capaz de robar datos, cifrar información y manipular procesos del sistema. En la campaña RevengeHotels de 2025, los actores de amenazas generaron con IA partes del infector y del downloader, demostrando que estas técnicas ya están en uso en ataques reales.

Georgy Kucherin, investigador senior de Kaspersky GReAT, advierte de que la IA será un factor determinante en la evolución del cibercrimen. “Al reducir el tiempo y el coste necesarios para desarrollar y adaptar herramientas maliciosas, la IA permite a los actores de amenazas iterar más rápido y escalar sus actividades”, señala el experto.

Los equipos de defensa deberán adaptarse a un entorno donde las tácticas cambian con mayor velocidad. El informe identifica varias líneas de evolución que influirán en los próximos años:

-     Malware reescrito por IA: los modelos generativos podrán traducir malware a otros lenguajes o arquitecturas, sustituyendo técnicas clásicas de ofuscación.

-     Exfiltración en la nube: los atacantes usarán servicios legítimos de almacenamiento para ocultar el robo de datos.

-     Ransomware orientado a la interrupción: algunos grupos buscarán paralizar procesos operativos, no solo cifrar archivos.

-     Agentes de IA como persistencia: si se comprometen, podrían ejecutar malware automáticamente en cada inicio del sistema.

-     Infraestructura satelital como objetivo: el crecimiento del internet por satélite abre un nuevo frente de ataque debido a su centralización e impacto potencial.