Saltar al contenido

Cómo te atacan hoy con IA: cuatro vectores reales de 2025

Deepfakes que imitan a tu CEO, malware que se reescribe solo y un ataque donde una IA operó el 90% sola. Los cuatro vectores con IA que ya son reales en 2025.

Portada de la segunda entrega sobre ciberseguridad e IA con la estética de terminal técnico de Nexarys

Segunda entrega de la serie sobre IA y ciberseguridad. En la primera parte pusimos el marco: por qué la seguridad dejó de ser un problema solo del área técnica. Acá bajamos al cómo, con casos documentados de 2025.

Entender el marco no alcanza. La pregunta que un equipo se hace en la práctica es más concreta: ¿cómo, exactamente, se usa la IA para atacarnos? No en un escenario hipotético, sino en ataques que ya ocurrieron y están documentados.

La respuesta incomoda por lo simple. En 2025, atacar con inteligencia artificial dejó de requerir conocimiento técnico profundo: las mismas capacidades que automatizan el trabajo legítimo —generar texto creíble, escribir código, imitar una voz— automatizan el fraude y la intrusión. Estos son los cuatro vectores, cada uno con un caso real.

1. Deepfakes operativos: cuando el “jefe” no es el jefe

El patrón es siempre el mismo: una videollamada o un audio donde un superior pide una acción urgente —una transferencia, una firma, un acceso— y todo coincide. Voz, cara, gestos. La diferencia entre perder dinero y no perderlo es un solo control.

Comparemos dos casos reales de 2024, porque juntos cuentan la lección completa.

  • El que cayó. La firma de ingeniería Arup perdió 25,6 millones de dólares cuando un empleado de finanzas autorizó quince transferencias tras una videollamada con un “CFO” y “colegas” que eran todos deepfakes. Lo contamos en la Parte 1.
  • El que se frenó. Pocos meses después, un ejecutivo de Ferrari recibió mensajes y un audio que clonaba la voz del CEO Benedetto Vigna —con su acento del sur de Italia incluido— pidiendo confidencialidad sobre una adquisición urgente. El ejecutivo hizo una sola cosa: preguntó qué libro le había recomendado el CEO días antes. El deepfake no supo responder y la llamada se cortó (Fortune, MIT Sloan Management Review).

La diferencia entre los dos casos no fue tecnológica. Ferrari no tenía un detector de deepfakes mágico. Tenía una persona que verificó por un canal que el atacante no podía falsificar: un dato compartido fuera de la pantalla. El mismo mes, un intento similar contra el CEO de WPP en una llamada de Teams se frenó por la misma razón —vigilancia humana, no tecnología—.

La lección: contra deepfakes, el control que funciona es la verificación fuera de banda. Ninguna transferencia o acceso crítico debería poder dispararse solo porque “lo pidió alguien que se veía y sonaba bien”.

2. Malware que se escribe a sí mismo

El segundo vector es código. Los modelos generativos producen variantes funcionalmente equivalentes que se ven distintas en cada iteración, y eso golpea de lleno a la detección por firma: si el binario muta, la firma estática llega tarde.

Ya hay muestras documentadas que salieron del laboratorio. La firma SentinelOne analizó MalTerminal, una de las primeras piezas conocidas de malware capaz de generar su payload en tiempo de ejecución usando un modelo GPT; ESET publicó PromptLock, una prueba de concepto de ransomware impulsado por IA. Y en enero de 2026 el salto se volvió tangible: Check Point Research documentó VoidLink, un framework de malware para Linux de más de 88.000 líneas —loaders, implants, rootkits y plugins modulares— escrito casi enteramente por IA bajo la dirección de una sola persona, en menos de una semana. Lo que antes exigía meses y varios equipos lo hizo un individuo dirigiendo un IDE con IA. La dirección es clara: malware producido más rápido, más barato y por menos manos. (Sobre qué no puede hacer todavía, volvemos al final.)

La lección: si tu detección depende solo de firmas, ya estás en desventaja. El análisis de comportamiento —observar qué hace un proceso, no cómo se ve— deja de ser un lujo y pasa a ser la línea base.

3. Ingeniería social a tu medida

Antes, el phishing era masivo y genérico: un correo con errores de gramática que un ojo entrenado descartaba. La IA cambió la economía del ataque. Hoy un atacante alimenta un modelo con tus redes públicas, tu estilo de escritura y tus contactos, y produce un mensaje que suena a vos, a tu jefe o a tu cliente.

El cambio es de calidad y de escala a la vez. La investigación de tendencias de phishing de Hoxhunt documenta que los correos con contenido generado por IA pasaron de ser una rareza a representar una porción dominante del phishing reportado. Lo que antes exigía un operador dedicado por víctima, ahora se automatiza para miles.

El correo es solo un canal. La misma técnica alimenta el vishing —llamadas con voz clonada— y los mensajes de WhatsApp, exactamente el vector de los casos Arup y Ferrari. Cuanto más auténtico parece el mensaje, menos sirve el viejo consejo de “fijate si hay errores”.

La lección: la capacitación dejó de ser sobre detectar errores y pasó a ser sobre verificar procesos. La pregunta correcta ya no es “¿esto parece legítimo?” sino “¿verifiqué esto por un segundo canal antes de actuar?“.

4. Automatización de ataques a escala

El cuarto vector es el que cambia el tablero, y tiene el caso más contundente de todos. En noviembre de 2025, Anthropic reportó haber interrumpido la primera campaña de ciberespionaje orquestada por IA a escala de la que se tiene registro público.

Los hechos, según el propio reporte de Anthropic:

DatoDetalle
AtacanteGrupo evaluado como patrocinado por el Estado chino
Herramienta abusadaClaude Code, manipulado para tareas ofensivas
ObjetivosCerca de 30 organizaciones globales (tech, finanzas, química, gobierno)
ÉxitoLogrado en un pequeño número de casos
Autonomía de la IA80–90% de la operación, con intervención humana solo en 4–6 puntos críticos

¿Cómo saltearon las barreras del modelo? No con un exploit técnico, sino con ingeniería social aplicada a la IA: partieron el ataque en tareas pequeñas y aparentemente inocentes, y le dijeron a Claude que era un empleado de una firma de ciberseguridad legítima haciendo pruebas defensivas. El modelo investigó vulnerabilidades, escribió código de exploit y recolectó credenciales creyendo que defendía.

Lo relevante no es la marca del modelo —cualquier sistema con capacidades de agente es susceptible—. Es la escala: un grupo pequeño operó decenas de objetivos en paralelo porque la IA hizo el trabajo pesado. Esa es la diferencia entre un atacante que ataca de a uno y uno que ataca de a treinta.

No es casual que en 2026 OWASP publicara un Top 10 específico para aplicaciones agénticas, separado del de modelos LLM de 2025. El riesgo dejó de ser solo cómo se manipula un modelo y pasó a ser qué hace ese modelo cuando se le da autonomía para actuar —exactamente el escalón que explotó esta campaña—.

El límite que todavía existe

Una aclaración de quien lo construye, porque el tema invita a la exageración. En la misma campaña, la IA no fue infalible: el reporte de Anthropic documenta que Claude “a veces alucinó credenciales o afirmó haber extraído información secreta que en realidad era pública”. Anthropic señala esto como un obstáculo real para los ataques totalmente autónomos.

Eso importa por dos razones. Primera: hay que separar dos cosas que el alarmismo mezcla. Construir ataques con IA ya es real y avanzado —VoidLink, que vimos arriba, lo demuestra—; operarlos de forma totalmente autónoma y sin errores todavía no. El “atacante IA perfecto e imparable” sigue siendo titular, no realidad operativa. Segunda, y más incómoda: el límite es de fiabilidad, no de capacidad, y la fiabilidad mejora con cada versión. La fricción que hoy frena al ataque autónomo es temporal.

El hilo que conecta los cuatro vectores es el mismo que en la Parte 1: la IA no inventó amenazas nuevas, bajó el costo y subió la escala de las que ya existían. El deepfake explota un proceso de aprobación débil. El malware explota una detección que mira firmas. El phishing explota la confianza. La automatización explota todo eso a la vez, más rápido y contra más blancos.

Por eso insistimos en que la seguridad no es un add-on: es parte del diseño desde el día cero. En la próxima entrega de esta serie pasamos de los ataques a las defensas: las medidas concretas para protegerse del mal uso de la IA, sin importar el tamaño de la organización.

← Volver al blog