El último Threat Hunting Report de CrowdStrike, presentado en el marco de Black Hat USA 2025, dibuja un panorama inquietante: la inteligencia artificial generativa (GenAI) no solo está transformando la forma en la que operan las empresas, sino también el modo en que actúan los ciberdelincuentes. La investigación, basada en la monitorización de más de 265 grupos de amenazas, muestra cómo actores estatales y criminales han incorporado la IA a gran escala para automatizar ataques, crear malware y, de forma cada vez más frecuente, comprometer a los nuevos protagonistas del ecosistema digital: los agentes autónomos de IA (agentic AI).
IA generativa al servicio de la intrusión
Uno de los hallazgos más preocupantes es el uso que grupos avanzados están haciendo de GenAI para escalar sus operaciones. El adversario norcoreano FAMOUS CHOLLIMA ha desarrollado un sofisticado programa de infiltración interna capaz de automatizar desde la creación de currículos falsos y entrevistas deepfake, hasta la ejecución de tareas técnicas bajo identidades falsas. Esto convierte las amenazas internas, tradicionalmente limitadas por recursos humanos, en operaciones persistentes y masivas.
En paralelo, EMBER BEAR, con vínculos a Rusia, ha amplificado narrativas prorrusas a través de contenidos generados por IA, mientras que el grupo iraní CHARMING KITTEN ha elaborado señuelos de phishing creados por LLM para atacar a organizaciones en Estados Unidos y la Unión Europea.
Agentes de IA: un nuevo objetivo crítico
CrowdStrike advierte que los agentes autónomos de IA se han convertido en un nuevo vector de ataque. Herramientas para su construcción están siendo vulneradas para obtener acceso no autenticado, establecer persistencia, robar credenciales e introducir malware o ransomware.
“El auge de la agentic AI ha creado una superficie de ataque empresarial completamente nueva”, explica Adam Meyers, responsable de operaciones contra adversarios en CrowdStrike. “Cada agente es, en la práctica, una identidad superhumana: rápida, autónoma y profundamente integrada en procesos críticos. Los atacantes los tratan como infraestructura, igual que lo hacen con plataformas SaaS o consolas cloud”.
Malware creado por IA: de la teoría a la práctica
El informe confirma que el malware generado por IA ya es operativo. Actores de eCrime y hacktivismo están utilizando GenAI para crear scripts, resolver problemas técnicos y desarrollar código malicioso sin necesidad de altos conocimientos técnicos. Casos como Funklocker y SparkCat demuestran que esta tendencia ha superado la fase experimental.
Ataques más rápidos y agresivos
El grupo SCATTERED SPIDER ha protagonizado un regreso especialmente agresivo en 2025. Su táctica combina vishing (llamadas de voz fraudulentas) y suplantación de servicios de soporte para resetear credenciales, saltarse la autenticación multifactor y desplazarse lateralmente por entornos SaaS y cloud. En un caso documentado, pasaron de la intrusión inicial al cifrado mediante ransomware en menos de 24 horas.
China y el auge de los ataques en la nube
Las intrusiones en la nube han aumentado un 136 %, con grupos chinos responsables de un 40 % de esta actividad. Adversarios como GENESIS PANDA y MURKY PANDA han explotado configuraciones erróneas y accesos de confianza para evitar detección, lo que subraya la necesidad urgente de una gestión más rigurosa de la seguridad en entornos cloud.
La doble cara de la IA
El informe de CrowdStrike dibuja una paradoja: la misma IA que promete eficiencia y competitividad se convierte en herramienta de ataque y objetivo prioritario para los adversarios. Esto plantea un reto estratégico para las empresas, que deben proteger no solo sus sistemas tradicionales, sino también sus modelos de IA, agentes autónomos y ecosistemas de datos.
La advertencia es clara: la ciberseguridad empresarial debe evolucionar para blindar la inteligencia artificial que sustenta cada vez más procesos de negocio. No hacerlo equivale a dejar sin defensa a una infraestructura crítica que opera a gran velocidad y con capacidad de decisión propia.
Preguntas frecuentes (FAQ)
1. ¿Qué es la agentic AI y por qué es un nuevo objetivo para los atacantes?
La agentic AI se refiere a agentes autónomos de IA capaces de ejecutar tareas complejas sin supervisión humana constante. Su integración profunda en procesos empresariales los convierte en objetivos de alto valor para el cibercrimen.
2. ¿Qué grupos de amenazas están liderando el uso malicioso de IA generativa?
Destacan FAMOUS CHOLLIMA (Corea del Norte), EMBER BEAR (Rusia) y CHARMING KITTEN (Irán), con tácticas que incluyen deepfakes, ingeniería social y phishing avanzado.
3. ¿El malware generado por IA es ya una amenaza real?
Sí. Casos como Funklocker y SparkCat confirman que la IA está siendo utilizada para desarrollar malware funcional, reduciendo la barrera técnica para actores de menor nivel.
4. ¿Cómo pueden las empresas proteger sus agentes de IA?
Aplicando controles de acceso estrictos, monitorización continua, segmentación de entornos y auditorías regulares, además de integrar la seguridad en cada fase del ciclo de vida de los modelos y agentes.
vía: crowdstrike
