En un informe publicado recientemente, Group-IB afirmó que la «IA está impulsando una quinta ola en la evolución del cibercrimen», proporcionando herramientas accesibles que facilitan ataques avanzados. Los cibercriminales están convirtiendo la IA en un recurso industrializado, transformando habilidades que antes eran especializadas, como la persuasión, la suplantación de identidad y la creación de malware, en servicios disponibles para cualquier persona con un medio de pago.
El informe técnico «IA armada: un análisis del ecosistema criminal que impulsa la quinta ola de ciberdelincuencia» revela cómo la IA está cambiando el panorama del crimen cibernético y acelerando esta nueva fase.
La firma de ciberseguridad con sede en Singapur indicó que ha habido un aumento en las publicaciones de foros de la dark web que mencionan IA, con actores maliciosos anunciando Dark LLMs como Nytheon AI, carentes de restricciones éticas y ofreciendo kits de identidad sintética que incluyen actores de video generados por IA, voces clonadas y conjuntos de datos biométricos por tan solo 5 dólares.
«La IA ha transformado el cibercrimen en una industria. Lo que antes requería especialistas y tiempo ahora es accesible, automatizable y escalable globalmente», expresó Craig Jones, exdirector de cibercrimen de INTERPOL y actual asesor estratégico independiente.
Aunque la IA no ha introducido nuevos motivos para los cibercriminales (el dinero, el apalancamiento y el acceso siguen siendo los principales impulsores), ha incrementado exponencialmente la velocidad, la escala y sofisticación de estas motivaciones.
Evolución y crecimiento
En los últimos treinta años, el cibercrimen ha avanzado a través de diversas oleadas, desde el phishing manual en los años 90 hasta el ransomware organizado y los ataques a la cadena de suministro de principios de los 2020. Group-IB informa un incremento del 371% en publicaciones de foros de la dark web con menciones de IA desde 2019, y un asombroso aumento de diez veces en las respuestas (1.199%).
Actualmente, los cibercriminales están industrializando la IA, simplificando habilidades que antes eran restringidas a expertos, como la persuasión, la suplantación de identidad y el desarrollo de malware, transformándolas en servicios que cualquiera puede adquirir.
La quinta ola de ciberdelincuencia
La investigación de Group-IB en foros de la dark web y mercados clandestinos, descubierta en 2025, evidenció un gran volumen de discusiones, con 23.621 publicaciones y 298.231 respuestas. El interés en la IA alcanzó su pico en 2023, tras el lanzamiento de ChatGPT al público a finales de 2022, con más de 300.000 respuestas a publicaciones relacionadas con IA, coincidiendo con el lanzamiento de GPT-4 y un creciente escrutinio regulatorio y social.
A diferencia de las olas previas de ciberdelincuencia, la adopción de IA por parte de los cibercriminales ha sido notablemente veloz. La IA ahora se ha tornado en un componente central del ecosistema criminal, en vez de ser un exploit ocasional.
Crimeware al precio de una suscripción a Netflix
Las investigaciones de Group-IB indican que ciertos vendedores están comercializando y empaquetando crimeware de IA para compradores poco experimentados en mercados clandestinos, facilitando así el acceso a sofisticados ataques para principiantes. Estos proveedores imitan modelos de negocio SaaS legítimos, incluyendo niveles de precios, suscripciones y atención al cliente. El software malicioso de IA se clasifica en tres categorías principales: explotación de LLM, automatización de phishing e ingeniería social, y malware y herramientas. Estas ofertas en la dark web son asequibles y a menudo se agrupan para atraer a los compradores.
Servicios de cibercriminalidad basados en IA
- Dark LLM: Los actores maliciosos están avanzando más allá del uso indebido de chatbots, creando LLM oscuros personalizados, más eficientes y sin restricciones éticas. Group-IB ha identificado al menos tres proveedores activos que ofrecen estos LLM oscuros, con suscripciones que varían entre 30 y 200 dólares al mes, y más de 1.000 usuarios en su base de clientes.
- Servicios e instrucciones para frameworks de jailbreak: El jailbreak permite a LLM legítimos generar contenido no permitido o peligroso a través de plantillas reutilizables o instrucciones para sortear barreras de seguridad. Según Group-IB, para finales del tercer trimestre de 2025, el volumen de estas publicaciones casi alcanzó el total de 2024, enfocándose principalmente en los modelos ChatGPT y OpenAI.
- Deepfake como servicio: El seguimiento de foros de la dark web por parte de Group-IB revela un mercado en crecimiento para «kits de identidad sintética», proporcionando actores de video creados por IA, voces clonadas y conjuntos de datos biométricos por tan solo 5 USD. Se han detectado y recopilado más de 300 publicaciones entre 2022 y septiembre de 2025 que mencionan «deepfake» y «KYC», con un incremento del 52% en los nombres de usuario únicos en 2025. Los atacantes recopilan muestras de audio de solo 10 segundos de redes sociales, webinars o incluso llamadas telefónicas para crear clones altamente realistas.
Con Información de blog.segu-info.com.ar