La IA dificulta atribuir ciberataques al borrar las huellas digitales de los ciberdelincuentes

El uso creciente de Inteligencia Artificial generativa en el cibercrimen está comenzando a borrar las “huellas digitales” que tradicionalmente permitían a los analistas atribuir los ciberataques a determinados grupos, según advierten los expertos del equipo Global Research and Analysis Team (GReAT) de Kaspersky.

De acuerdo con el “informe Advanced Threat Predictions for 2026”, el uso de modelos de IA para generar código malicioso, correos de phishing y otros contenidos operativos hará cada vez más difícil identificar a los responsables de los ataques, obligando a los analistas a apoyarse en otros indicadores como la infraestructura utilizada, las herramientas empleadas o los patrones de comportamiento de los atacantes.

A medida que los ciberdelincuentes incorporan herramientas de IA a sus operaciones, cada vez es más habitual que el código malicioso, los correos de phishing o incluso los comentarios internos en el software sean generados por modelos de lenguaje. A diferencia del contenido creado por humanos, este material suele ser más neutral y estandarizado, lo que dificulta identificar rasgos distintivos como errores lingüísticos, patrones de programación o estilos de escritura que anteriormente ayudaban a rastrear el origen de una campaña.

Según el informe “Advanced Threat Predictions for 2026” de Kaspersky, la Inteligencia Artificial ya está influyendo en distintas fases del ciclo de desarrollo del malware. Los grandes modelos de lenguaje pueden generar partes sustanciales de código malicioso, desde la estructura inicial del programa hasta módulos funcionales completos.

Los investigadores ya han observado desarrollo asistido por IA en campañas reales. Por ejemplo, el grupo FunkSec utilizó herramientas de IA para desarrollar malware escrito en Rust capaz de robar datos, cifrar información y manipular procesos del sistema. En la campaña RevengeHotels de 2025, los actores de amenazas emplearon modelos de lenguaje para generar partes del código del infector y del downloader.

“Esperamos que la Inteligencia Artificial siga siendo uno de los factores clave que darán forma al panorama de amenazas en 2026, ya que ya estamos viendo cómo está transformando los flujos de trabajo de los atacantes y acelerando sus operaciones. Al reducir el tiempo y el coste necesarios para desarrollar y adaptar herramientas maliciosas, la IA permite a los actores de amenazas iterar más rápido y escalar sus actividades. Los defensores deben estar preparados para cambios tácticos mucho más rápidos”, afirma Georgy Kucherin, Senior Security Researcher en Kaspersky GReAT.

El fin de la atribución tradicional en ciberseguridad

Históricamente, la atribución de ciberataques se ha basado en analizar patrones: direcciones IP, firmas de malware, técnicas recurrentes o infraestructuras utilizadas. Estos elementos permitían establecer conexiones entre ataques y grupos concretos.

Sin embargo, la IA está erosionando estos métodos.

Antes de profundizar, es importante entender que la atribución se basaba en la repetición. La IA introduce variabilidad constante.

• Generación dinámica de código malicioso: Los atacantes pueden utilizar IA para crear variantes únicas de malware en cada ataque, eliminando patrones reconocibles. Esto dificulta que los sistemas de detección identifiquen amenazas basadas en firmas.
• Simulación de estilos y comportamientos de otros grupos: La IA permite imitar las tácticas, técnicas y procedimientos (TTPs) de otros actores, generando falsas atribuciones. Esto introduce ruido y confusión en el análisis forense.
• Rotación automatizada de infraestructuras: Bots inteligentes pueden cambiar continuamente servidores, proxies y rutas de ataque, dificultando el rastreo.

La IA convierte cada ataque en una “identidad única”, eliminando la repetición que hacía posible la atribución.

Cómo la IA borra las huellas digitales del atacante

La capacidad de ocultación es uno de los mayores cambios que introduce la IA en el cibercrimen.

Antes de analizarlo, es clave entender que las huellas digitales digitales ya no son estáticas, son generadas dinámicamente.

• Ofuscación avanzada y adaptativa del código: Los modelos de IA pueden modificar automáticamente el código malicioso para evitar detección, cambiando estructuras, nombres y comportamiento sin alterar su funcionalidad.
• Creación de identidades digitales falsas altamente creíbles: La IA generativa permite crear perfiles, correos, voces o mensajes indistinguibles de los reales, dificultando la identificación del origen.
• Eliminación automática de rastros tras el ataque: Scripts inteligentes pueden borrar logs, modificar registros o alterar evidencias en tiempo real, reduciendo la capacidad de análisis posterior.
• Uso de ataques “living off the land”: En lugar de introducir malware, los atacantes utilizan herramientas legítimas del propio sistema, lo que dificulta distinguir actividad maliciosa de actividad normal.

El impacto para las empresas (especialmente pymes)

La dificultad para atribuir ataques no es solo un problema técnico, tiene implicaciones estratégicas.

Antes de analizarlo, es importante entender que la defensa tradicional depende de conocer al enemigo.

• Mayor dificultad para prevenir ataques recurrentes: Si no se puede identificar el origen, es más complicado anticipar futuras amenazas.
• Incremento del tiempo de respuesta ante incidentes: La falta de claridad retrasa la toma de decisiones y la contención del ataque.
• Mayor exposición a ataques dirigidos y personalizados: La IA permite adaptar ataques a cada empresa, aumentando su efectividad.
• Limitaciones en la respuesta legal y regulatoria: Sin atribución clara, perseguir a los responsables se vuelve más complejo.

Cuando no sabes quién te ataca, debes asumir que cualquiera puede hacerlo.

Cómo deben adaptarse las empresas a este nuevo escenario

Ante este cambio, las empresas deben evolucionar su enfoque de ciberseguridad.

Antes de aplicar estas medidas, es importante entender que la seguridad ya no puede basarse en la identificación del atacante.

• Adoptar un enfoque de “zero trust”: No confiar en ningún usuario o sistema por defecto, verificando continuamente accesos y comportamientos.
• Invertir en detección basada en comportamiento: Analizar anomalías en lugar de firmas permite identificar ataques incluso sin patrones conocidos.
• Automatizar la respuesta a incidentes: Reducir el tiempo de reacción es clave cuando la atribución es difícil.
• Formar al equipo en nuevas amenazas basadas en IA: La concienciación sigue siendo una de las mejores defensas.
• Implementar copias de seguridad seguras y desconectadas: Garantizan la recuperación ante ataques avanzados.

La defensa ya no consiste en reconocer al atacante, sino en detectar comportamientos anómalos.

Herramientas clave para afrontar este desafío

• CrowdStrike / SentinelOne: detección basada en comportamiento
• Darktrace: IA para detección de anomalías
• Splunk: análisis de eventos y correlación
• Okta: gestión de identidad y acceso
• Veeam: copias de seguridad seguras

Insights y datos clave

• El 74% de los ataques incluye elementos diseñados para evadir la detección (IBM Security)
• El tiempo medio de detección de un ataque supera los 200 días (Mandiant)
• El 60% de los ataques utiliza herramientas legítimas del sistema (Microsoft Security)
• Los ataques impulsados por IA están creciendo exponencialmente (ENISA)
• El coste medio de una brecha supera los 4,5 millones de dólares (IBM)

Tendencias que marcarán el panorama de ciberamenazas

Los expertos de Kaspersky también señalan otras tendencias que influirán en la evolución de las amenazas en los próximos años:

• Evolución del malware impulsada por IA: los modelos generativos permitirán reescribir malware en distintos lenguajes o arquitecturas, lo que podría sustituir a técnicas tradicionales de ofuscación como los crypters.
• Exfiltración de datos a través de servicios en la nube: los atacantes recurrirán cada vez más a plataformas legítimas de almacenamiento y compartición de archivos para ocultar el robo de datos dentro de tráfico aparentemente normal.
• Ransomware orientado a la interrupción operativa: algunos grupos no solo cifrarán datos, sino que buscarán paralizar procesos productivos y operativos para aumentar la presión sobre las víctimas.
• Agentes de IA como mecanismo de persistencia: algunas soluciones de agentes de IA cuentan con amplios permisos dentro de los sistemas. Si son comprometidas, los atacantes podrían modificar su configuración para ejecutar malware automáticamente en cada inicio del sistema.
• Infraestructura satelital como nuevo objetivo: el crecimiento del internet por satélite podría convertir a estos sistemas y sus estaciones terrestres en objetivos atractivos para los atacantes debido a su carácter centralizado y su impacto potencial.

La inteligencia artificial está redefiniendo el cibercrimen, no solo haciéndolo más potente, sino también más invisible. La atribución, que durante años ha sido un pilar de la ciberseguridad, se enfrenta ahora a una transformación radical.

Para las empresas, esto implica un cambio de mentalidad. Ya no basta con identificar amenazas conocidas, es necesario prepararse para lo desconocido. La seguridad deja de ser reactiva para convertirse en predictiva y adaptativa.

En este nuevo escenario, las organizaciones que sobrevivan no serán las que mejor identifiquen a sus atacantes, sino las que mejor se adapten a su invisibilidad.

Te puede interesar

• Phishing con IA generativa: las nuevas estafas que tu equipo no detecta
• Cómo detectar ataques de phishing y responder antes de que afecten a tu negocio
• Cuando la IA imita a tu jefe: el fraude de voz que amenaza a las empresas