La transformación del cibercrimen avanza a un ritmo vertiginoso. Lo que antes requería horas de preparación y reconocimiento ahora puede ejecutarse en cuestión de segundos gracias al uso de inteligencia artificial.
El dato es contundente: un ataque sofisticado puede iniciarse en apenas 27 segundos. Esta velocidad redefine por completo las reglas de la defensa digital y obliga a empresas e instituciones a replantear sus estrategias de protección.
El Informe Global de Amenazas 2026 de CrowdStrike alerta de que la integración de modelos avanzados de IA en las operaciones delictivas está reduciendo drásticamente los tiempos de reacción.
Según el estudio, el tiempo medio que un atacante necesita para desplazarse lateralmente y acceder a activos críticos dentro de una red empresarial se situó en 29 minutos durante 2025, lo que supone una aceleración del 65% respecto al año anterior.
El caso más extremo documentado se resolvió en tan solo 27 segundos, un intervalo prácticamente imposible de gestionar con mecanismos tradicionales de supervisión.
La automatización del delito digital
El crecimiento de los ataques habilitados por inteligencia artificial alcanzó el 89% en el último año analizado. Esta expansión no solo implica un aumento en el volumen de incidentes, sino también una mejora sustancial en la eficiencia operativa de los delincuentes.
Los algoritmos permiten automatizar tareas de reconocimiento, identificar vulnerabilidades en tiempo real y adaptar el código malicioso en función de la respuesta defensiva detectada.
La IA generativa ha sido empleada para elaborar correos de phishing altamente personalizados, diseñar páginas fraudulentas indistinguibles de las originales y crear identidades digitales creíbles.
En entornos corporativos complejos, donde conviven infraestructuras locales y servicios en la nube, esta capacidad de adaptación reduce la ventana de detección y complica la contención del incidente.
El informe identifica también la manipulación de herramientas de desarrollo de inteligencia artificial como vector de entrada. En al menos 90 organizaciones se detectaron prompts alterados con fines maliciosos, utilizados para obtener información sensible o para introducir código no autorizado.
Este fenómeno demuestra que los propios sistemas diseñados para mejorar la productividad pueden convertirse en puerta de acceso si no se gestionan con protocolos estrictos.
Actores estatales y grupos avanzados
Entre los actores destacados figura FANCY BEAR, vinculado a Rusia, que incorporó el malware LAMEHUG junto a un modelo de lenguaje de gran tamaño para automatizar la recopilación de documentos y el análisis inicial de los sistemas comprometidos.
Esta combinación de código malicioso y capacidades lingüísticas permite acelerar la fase de reconocimiento y optimizar la selección de objetivos estratégicos.
Otro grupo relevante es PUNK SPIDER, que empleó scripts generados mediante inteligencia artificial para extraer credenciales y eliminar rastros forenses con mayor rapidez.
Por su parte, FAMOUS CHOLLIMA, asociado a Corea del Norte, utilizó identidades digitales creadas con IA para infiltrarse en organizaciones y escalar privilegios de manera encubierta. Estas tácticas evidencian un desplazamiento hacia métodos más discretos y sofisticados, donde la intrusión se camufla dentro de actividades aparentemente legítimas.
Los analistas de CrowdStrike, que monitorizan más de 280 grupos de amenazas en todo el mundo, detectaron un incremento del 38% en operaciones relacionadas con China y un aumento superior al 130% en las atribuidas a Corea del Norte.
El componente geopolítico añade complejidad al panorama, ya que muchas de estas campañas persiguen objetivos de espionaje estratégico o recopilación de inteligencia.
Nube, zero-day y persistencia encubierta
La infraestructura en la nube se ha convertido en uno de los principales escenarios de ataque. Las ofensivas dirigidas a entornos cloud crecieron un 37% de forma general, mientras que las asociadas a actores estatales experimentaron un incremento del 266%.
Los ciberdelincuentes aprovechan servicios de Software como Servicio y plataformas de almacenamiento remoto para ocultar sus movimientos entre el tráfico legítimo.
La explotación de vulnerabilidades zero-day también registró un avance significativo. El 42% de las brechas detectadas fueron aprovechadas antes de que se hiciera pública su existencia.
Este acceso anticipado permite ejecutar código remoto, elevar privilegios y consolidar presencia persistente dentro de la red antes de que las actualizaciones de seguridad estén disponibles.
Otra tendencia preocupante es la creación de servidores de IA falsos que simulan ser servicios legítimos. El objetivo es interceptar datos confidenciales o distribuir ransomware bajo la apariencia de herramientas autorizadas. Este tipo de suplantación combina ingeniería social con técnicas avanzadas de programación, aumentando la probabilidad de éxito.
NotiVeraz