La nueva era del cibercrimen con IA: De DDoS autónomos a infiltración silenciosa de identidades

Los ataques ya no buscan derribar sistemas, sino habitarlos. La IA acelera una nueva era del cibercrimen donde la identidad es el blanco principal y la detección se vuelve cada vez más difícil.
En la nueva era del cibercrimen, el atacante no irrumpe: se integra y opera desde dentro.
En la nueva era del cibercrimen, el atacante no irrumpe: se integra y opera desde dentro.
Compartir nota:

Durante décadas, la ciberseguridad se pensó como una disciplina de defensa perimetral. Sistemas protegidos por capas, atacantes intentando penetrarlas, señales claras de intrusión. Incluso en sus formas más sofisticadas, el ataque era visible: dejaba rastros, generaba ruido, interrumpía operaciones. Pero hoy, ese marco conceptual ya no es suficiente.

Tomando como ejemplo inicial lo que dice el Cloudflare Threat Intelligence Report 2026, en él no se describe simplemente una intensificación del conflicto digital, sino una transformación más inquietante: el desplazamiento del ataque desde la infraestructura hacia la identidad, desde la disrupción hacia la invisibilidad. Cloudflare observa más de 230 mil millones de amenazas bloqueadas por día, pero lo verdaderamente significativo es que las más efectivas no intentan derribar sistemas, sino habitar dentro de ellos sin ser detectadas (https://www.cloudflare.com/threat-intelligence/).

El atacante moderno no rompe la puerta. Usa la llave. O, más precisamente, se convierte en quien tiene derecho a usarla.

La automatización del razonamiento ofensivo

El elemento catalizador de este cambio es la inteligencia artificial, pero no en el sentido simplista de “ataques más avanzados”. La verdadera disrupción es más estructural: la externalización del razonamiento ofensivo.

Los modelos de lenguaje de gran escala (LLMs) permiten transformar lo que antes era conocimiento especializado en una capacidad accesible, reproducible y escalable. La explotación de vulnerabilidades ya no depende exclusivamente de la intuición o experiencia de un operador humano. Puede ser asistida, y en muchos casos conducida, por sistemas que analizan código, interpretan arquitecturas y sugieren vectores de ataque en tiempo real.

El informe de Cloudflare documenta este fenómeno con precisión: actores que utilizan IA para mapear entornos SaaS complejos, identificar datos de alto valor y construir rutas de acceso con una velocidad que comprime el ciclo de ataque de días a minutos. Este patrón coincide con las advertencias del National Institute of Standards and Technology (NIST) sobre el uso de IA generativa para automatizar el descubrimiento y explotación de vulnerabilidades (https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf).

Lo que emerge es una nueva forma de ofensiva: no basada en habilidades excepcionales, sino en sistemas que reducen sistemáticamente la complejidad.

Ataques invisibles, decisiones automatizadas: la IA transforma el cibercrimen en un sistema que aprende y se adapta.
Ataques invisibles, decisiones automatizadas: la IA transforma el cibercrimen en un sistema que aprende y se adapta.

El colapso del perímetro y la centralidad de la identidad

A medida que las arquitecturas empresariales migraron hacia modelos cloud y SaaS, el perímetro tradicional se disolvió. Pero este proceso, que durante años fue entendido como un desafío operativo, revela ahora una consecuencia más profunda: la identidad se convierte en el único punto estable del sistema. Y por lo tanto, en su principal vulnerabilidad.

Este es un cambio crítico: los atacantes ya no intentan comprometer credenciales para obtener acceso inicial, sino capturar estados de autenticación ya válidos. El robo de tokens de sesión, frecuentemente mediante infostealers o ataques adversary-in-the-middle, permite eludir completamente mecanismos como MFA. En términos prácticos, esto significa que la autenticación deja de ser un evento confiable.

El MITRE ATT&CK Framework ya formaliza estas técnicas como parte del repertorio estándar de los atacantes modernos, destacando cómo el compromiso de sesiones autenticadas redefine el concepto de acceso no autorizado (https://attack.mitre.org/techniques/T1550/).

En este contexto, la distinción entre usuario legítimo y atacante deja de ser binaria. Se vuelve probabilística.

La infiltración como estrategia: deepfakes y trabajo remoto

Si la identidad es el nuevo perímetro, entonces manipularla no es solo una táctica, sino una estrategia completa.

Uno de los desarrollos más inquietantes es la industrialización de la infiltración humana. Actores, particularmente vinculados a estados, utilizan deepfakes, identidades sintéticas y entornos operativos distribuidos para integrarse directamente en las organizaciones que buscan comprometer. No acceden al sistema: trabajan dentro de él.

El uso de “granjas de laptops” para simular presencia local, combinado con identidades digitales coherentes y verificables en plataformas profesionales, permite sostener esta ilusión durante meses o años. El resultado es una forma de acceso persistente que no depende de vulnerabilidades técnicas, sino de la estructura misma del trabajo digital contemporáneo.

Aquí, la frontera entre ciberataque y operación de inteligencia humana se vuelve indistinguible.

DDoS autónomos: la persistencia del ruido, pero sin humanos

En paralelo a esta transición hacia la invisibilidad, los ataques volumétricos no desaparecen sino que evolucionan.

Cloudflare reporta eventos DDoS que alcanzan los 31.4 Tbps, impulsados por botnets que operan con un nivel de autonomía que reduce drásticamente la intervención humana. Estos sistemas no solo ejecutan ataques a gran escala, sino que pueden adaptarse dinámicamente a las defensas, optimizando su impacto en tiempo real.

Sin embargo, incluso aquí el cambio es conceptual: el DDoS deja de ser una herramienta primaria de disrupción y pasa a ser un componente dentro de un sistema ofensivo más amplio, donde el verdadero objetivo está en otra parte.

Mientras los ataques se vuelven invisibles, los DDoS persisten como la cara visible de un ecosistema criminal cada vez más automatizado.
Mientras los ataques se vuelven invisibles, los DDoS persisten como la cara visible de un ecosistema criminal cada vez más automatizado.

La cadena de suministro como superficie de ataque amplificada

En entornos altamente interconectados, una única integración comprometida puede propagarse a través de múltiples organizaciones, generando efectos en cascada.

El caso analizado por Cloudflare muestra cómo un atacante, asistido por IA, identifica credenciales en repositorios, accede a integraciones SaaS sobreprivilegiadas y utiliza ese acceso para comprometer múltiples entornos simultáneamente. La inteligencia artificial no solo acelera el ataque; amplifica su alcance estructural.

El sistema ya no falla en un punto. Falla como red.

Vivir dentro del sistema: el abuso de la infraestructura legítima

Los atacantes ya no necesitan infraestructura propia. Operan dentro de la infraestructura de sus víctimas. Utilizan servicios cloud, plataformas SaaS y herramientas empresariales legítimas para:

  • Ejecutar comandos 
  • Exfiltrar datos 
  • Coordinar operaciones 
  • Evadir detección 

Este modelo, conocido como Living off the XaaS, convierte la distinción entre actividad legítima y maliciosa en un problema de contexto más que de tecnología.

La Cybersecurity and Infrastructure Security Agency (CISA) ha señalado este riesgo en su arquitectura de referencia para seguridad cloud, subrayando la dificultad de diferenciar uso legítimo de abuso dentro de entornos altamente dinámicos (https://www.cisa.gov/resources-tools/resources/cloud-security-technical-reference-architecture).

El atacante no oculta su tráfico. Lo disfraza de normalidad.

El cibercrimen como sistema económico automatizado

Hemos llegado a un punto que trasciende lo técnico: la consolidación del cibercrimen como una economía completamente estructurada.

Servicios como Phishing-as-a-Service, mercados de credenciales robadas, brokers de acceso inicial y plataformas de malware bajo suscripción configuran un ecosistema donde cada etapa del ataque puede ser tercerizada.

En este contexto, la inteligencia artificial actúa como acelerador sistémico, reduciendo costos, aumentando escala y eliminando barreras de entrada.

El resultado es una transformación fundamental:

El cibercrimen ya no es una colección de ataques. Es un sistema.

Conclusión: seguridad contra sistemas que aprenden

El panorama que emerge del análisis no es simplemente más complejo. Es cualitativamente distinto.

La convergencia entre inteligencia artificial, infraestructuras cloud y modelos económicos delictivos ha producido un entorno donde:

  • Los ataques son automatizados 
  • La infiltración reemplaza a la disrupción 
  • La identidad sustituye al perímetro 
  • La velocidad supera la capacidad humana de respuesta 

En este nuevo escenario, la defensa no puede seguir basándose en modelos reactivos ni en controles estáticos. Requiere una transformación equivalente: sistemas capaces de operar a la misma velocidad, con la misma adaptabilidad y, crucialmente, con la misma capacidad de aprendizaje que los atacantes.

Porque la pregunta ya no es si un sistema puede ser vulnerado. La pregunta es si puede distinguir, en tiempo real, entre quien pertenece y quien solo parece pertenecer a la organización atacada.

Leer más

Visitas: 9
Compartir nota:
Gustavo Aldegani

Gustavo Aldegani

Ver Publicaciones

Publicaciones Relacionadas

Suscríbete a nuestro newsletter
Suscríbete

Lo más leído de Seguridad

Publicaciones Relacionadas

Scroll to Top