La inteligencia artificial (IA) avanza hacia mayores niveles de autonomía, lo que permite el desarrollo de agentes que no solo responden a solicitudes, sino que también pueden planificar y ejecutar tareas de manera independiente. Este avance ha sido aprovechado por actores maliciosos, quienes lo utilizan para llevar a cabo campañas de ciberataques sofisticadas, masivas y de bajo coste. Recientemente, Anthropic, una firma estadounidense de investigación en IA, ha documentado lo que considera «el primer caso conocido de un ataque cibernético a gran escala realizado sin intervención humana significativa», atribuyéndolo a un grupo «patrocinado por el Estado chino», de acuerdo con un informe publicado.
El ataque, que ha sido descrito como «sin precedentes», fue detectado a mediados de septiembre. Según Anthropic, «detectamos actividad sospechosa que resultó ser una campaña de espionaje altamente sofisticada. Los atacantes utilizaron las capacidades agénticas de la IA no solo como herramienta, sino para ejecutar los ciberataques en sí».
El grupo responsable, al que Anthropic identifica «con alta fiabilidad» como un grupo estatal chino, manipuló la plataforma de IA de la empresa, Claude Code, para infiltrarse en aproximadamente 30 objetivos globales, logrando el éxito en un número reducido de casos. Los objetivos de estos ataques, como es habitual en ciberamenazas a gran escala, incluyeron grandes empresas tecnológicas, instituciones financieras, industrias químicas y agencias gubernamentales.
Tras identificar la brecha, Anthropic inició una investigación que se extendió por más de 10 días, con el objetivo de evaluar el impacto del ataque, bloquear las cuentas de IA comprometidas y notificar tanto a las autoridades como a las entidades afectadas.
Los atacantes aprovecharon las avanzadas capacidades de la IA para recolectar contraseñas y datos, procesándolos y analizándolos en función de sus objetivos. «Ahora pueden buscar en la web, recuperar datos y realizar múltiples acciones previamente reservadas a operadores humanos», explica Anthropic. Posteriormente, utilizaron las funciones de codificación para que la propia IA desarrollara los programas de espionaje y sabotaje.
El programa de IA empleado fue el de la propia compañía, Claude, que a pesar de contar con salvaguardas para prevenir su uso malicioso, fue engañado. «Está diseñado para evitar comportamientos dañinos, pero los atacantes fragmentaron sus ataques en tareas menores y aparentemente inofensivas, eludiendo así los mecanismos de seguridad». Además, hicieron creer a Claude que los procesos eran iniciados por un empleado legítimo de una empresa de ciberseguridad, bajo la premisa de que se realizaban pruebas defensivas, detallan los investigadores.
La IA actuó de manera autónoma en más del 90% de los casos, limitando la intervención humana a entre el 4% y el 6% de las decisiones críticas. «Este ataque representa una escalada en la piratería, que hasta ahora requería más intervención humana», concluye Anthropic, que también menciona que, aunque la IA fue utilizada para este ataque, se están desarrollando herramientas más efectivas para prevenirlos.
En relación con estas amenazas, Billy Leonard, líder del grupo de inteligencia de amenazas de Google, ha señalado los intentos de los atacantes de utilizar herramientas de IA legítimas. Las salvaguardas de estas plataformas han llevado a muchos ciberdelincuentes a recurrir a modelos disponibles en el mercado negro. «Estas herramientas carecen de restricciones, lo que les otorga una ventaja significativa a los atacantes menos sofisticados», advierte Leonard.
Por otro lado, la compañía de seguridad digital Kaspersky ha revelado la aparición de campañas de ciberataques que diseminan modelos de lenguaje maliciosos, poniendo en riesgo la seguridad de los usuarios desprevenidos. Recientemente, identificaron un programa denominado BrowserVenom, que se distribuye a través de un falso asistente de IA llamado DeepSneak. Este último suplanta la identidad de DeepSeek-R1 y se promociona mediante anuncios en Google. Su objetivo es engañar a los usuarios para que instalen software malicioso que redirige su tráfico web hacia servidores controlados por los atacantes, permitiendo así el robo de credenciales e información sensible.
Los ciberdelincuentes utilizan sitios de phishing y versiones manipuladas de instaladores legítimos como Ollama o LM Studio para ocultar sus ataques, eludiendo incluso la protección de Windows Defender. «Estas amenazas demuestran que los modelos de lenguaje que se ejecutan localmente pueden convertirse en un nuevo vector de riesgo si no se descargan desde fuentes verificadas», advierte Kaspersky.
El informe del equipo de Leonard en Google también señala que los principales actores detrás de estas campañas emergentes provienen de China, Corea del Norte, Rusia e Irán. «Estos grupos intentan utilizar la IA en todo, desde la ejecución de malware, hasta la ingeniería social y la venta de herramientas de IA, mejorando así todas las etapas de sus operaciones».
