El panorama de los ciberataques ha entrado en una nueva fase en la que los delincuentes están operacionalizando la inteligencia artificial (IA) generativa para escalar sus operaciones y acelerar los ataques y se están enfocando cada vez más en los agentes de IA autónomos que están transformando las operaciones empresariales.
La IA se ha convertido en arma y objetivo a gran escala de los ciberdelincuentes, como se recoge en la edición de 2025 del informe 'Threat Hunting', de CrowdStrike. En él, se incluye como ejemplo el grupo vinculado a Corea del Norte Famous Chollima, que utilizó IA generativa para automatizar todas las fases de su programa de ataques.
Desde la creación de currículos falsos y entrevistas realizadas con 'deepfakes' hasta la ejecución de tareas técnicas bajo identidades falsas, las tácticas impulsadas por IA están transformando las amenazas internas tradicionales en operaciones escalables y persistentes, como explica la compañía de ciberseguridad en una nota de prensa.
Por su parte, el grupo vinculado a Rusia Ember Bear utilizó también IA generativa para amplificar narrativas proRusia, mientras que el grupo iraní Charming Kitten desplegó señuelos de 'phishing' generados por modelos de lenguaje grande (LLM) contra entidades de EEUU y la UE.
CrowdStrike también ha observado múltiples grupos de ciberdelincuentes explotando vulnerabilidades en herramientas utilizadas para construir agentes de IA para lograr acceso no autenticado, establecer persistencia, robar credenciales y desplegar 'malware' y 'ransomware'.
Estos ataques demuestran cómo la revolución de la IA autónoma está transformando la superficie de ataque contra empresas, convirtiendo los flujos de trabajo autónomos y las identidades no humanas en la próxima frontera de explotación por parte de los adversarios.
"Los cibercriminales están tratando a estos agentes como infraestructuras, atacándolos del mismo modo que atacan plataformas SaaS, consolas en la nube y cuentas privilegiadas. Proteger la IA que impulsa el negocio es el nuevo caballo de batalla", ha señalado el jefe de operaciones contra adversarios en CrowdStrike, Adam Meyers.
A ello se añade que el 'malware' creado con IA generativa ya es una realidad. Algunos grupos, como Funklocker y SparkCat, están ya abusando de la IA para generar 'scripts', resolver problemas técnicos y construir 'malware', automatizando tareas que antes requerían experiencia avanzada.
El informe también recoge el resurgimiento del grupo Scattered Spider en 2025, con técnicas más rápidas y agresivas utilizando 'vishing' e imitación de servicios de asistencia para restablecer credenciales, eludir la autenticación multifactor y moverse lateralmente en entornos SaaS y 'cloud'.
El panorama de los ciberataques también muestra un aumento de las intrusiones en la nube del 136 por ciento. Según el informe, los grupos vinculados a China son responsables del 40 por ciento del incremento,mientras Genesis Panda y Murky Panda evadían la detección mediante configuraciones erróneas en la nube y accesos de confianza.
