La IA acelera las capacidades de los ciberdelincuentes: el ataque más rápido observado en 2025 ocurrió en 27 segundos

El uso de sistemas de inteligencia artificial generativa permitió que grupos vinculados a Rusia y Corea del Norte, como FANCY BEAR y FAMOUS CHOLLIMA, desplegaran ataques sofisticados que aprovecharon identidades y código generados automáticamente para penetrar infraestructuras empresariales. El fabricante de ciberseguridad CrowdStrike documentó que, en 2025, el ataque más veloz registrado completó el acceso inicial a los sistemas objetivo en tan solo 27 segundos. Según reportó CrowdStrike, estos incidentes forman parte de una tendencia global de aceleración y diversificación de las amenazas digitales.

El ‘Informe Global de Amenazas 2026’ elaborado por CrowdStrike detalló que los ataques habilitados por inteligencia artificial aumentaron un 89 por ciento respecto al año anterior. El informe, citado por el medio, subrayó que el tiempo promedio de acceso de los ciberdelincuentes a activos empresariales cayó hasta 29 minutos en 2025, es decir, un descenso del 65 por ciento en relación con los datos de 2024. Esta reducción implica que actores maliciosos están entrando a sistemas corporativos con mayor rapidez, dificultando las capacidades de respuesta de los responsables de seguridad.

De acuerdo con la investigación de CrowdStrike, estos grupos emplean técnicas avanzadas que incluyen la utilización de IA como herramienta directa en el reconocimiento de objetivos, robo de credenciales y técnicas de evasión automatizadas. El caso de FANCY BEAR destaca por su uso de LAMEHUG, un malware alimentado con modelos de lenguaje de gran tamaño diseñado para automatizar procesos de reconocimiento y recolección de documentos. El informe también mencionó a PUNK SPIDER, que aceleró el volcado de credenciales y la eliminación de rastros forenses mediante scripts generados por IA, dificultando la reconstrucción de las intrusiones por parte de los equipos de defensa.

El documento de CrowdStrike subrayó que algunos grupos, como FAMOUS CHOLLIMA, orientaron sus tácticas a la creación y explotación de identidades generadas artificialmente, lo que permitió escalar operaciones internas una vez dentro de las redes atacadas. Además, los ciberdelincuentes desplazaron sus acciones hacia vectores de acceso que incluyen identidades de confianza, aplicaciones SaaS y recursos hospedados en la nube, camuflando su actividad entre el tráfico legítimo y desafiando la capacidad de los sistemas tradicionales de detección.

Según publicó CrowdStrike, los actores maliciosos no solo aprovechan plataformas externas, sino que también manipulan los propios sistemas de IA. Se registraron inyecciones de ‘prompts’ maliciosos en herramientas generativas en al menos 90 organizaciones diferentes y el uso indebido de plataformas de desarrollo para obtener persistencia, desplegar ransomware o interceptar información sensible a través de servidores engañosos de IA que simulaban ser servicios de confianza.

La recopilación de inteligencia señala que la amenaza está globalizada. El medio reportó que los equipos de CrowdStrike rastrean actualmente a más de 280 agrupaciones conocidas. La actividad relacionada con actores vinculados a China mostró un incremento del 38 por ciento, mientras que Corea del Norte registró un alza superior al 130 por ciento en sus operaciones. Dentro de este escenario, aumentaron los ataques dirigidos a entornos de computación en la nube, con un crecimiento global del 37 por ciento. En particular, los actores vinculados a Estados responsables de ataques en la nube incrementaron sus operaciones en un 266 por ciento, motivados por la obtención de inteligencia.

El informe también identificó una tendencia hacia la explotación de vulnerabilidades antes de su divulgación pública. Alrededor del 42 por ciento de los fallos de seguridad explotados fueron utilizados en ataques de “día cero”, permitiendo ejecuciones remotas de código, accesos iniciales y escaladas de privilegios en sistemas objetivos sin la posibilidad de contar con parches o mitigaciones disponibles para las empresas afectadas.

CrowdStrike recalcó que la conjunción entre la adopción de nuevas tecnologías y el auge de la inteligencia artificial contribuyó tanto a la complejidad como a la velocidad de los ataques. Como resultado, la defensa digital requiere una actualización constante para enfrentar ataques que explotan vulnerabilidades de software, manipulan identidades digitales de confianza y aprovechan las infraestructuras tecnológicas emergentes.