¿Qué aprendimos mapeando un año de ciberamenazas con IA?
A medida que la inteligencia artificial transforma la naturaleza y los métodos detrás de los ciberataques, surge la duda de qué tan efectivos son los marcos actuales de la comunidad de seguridad. En un nuevo informe, buscamos responder a esa interrogante examinando 832 cuentas bloqueadas por actividad maliciosa entre marzo de 2025 y marzo de 2026, mapeándolas contra MITRE ATT&CK, la base de datos estándar de tácticas y técnicas de atacantes. Publicamos parte de estos resultados en el 2026 Data Breach Investigations Report (DBIR) de Verizon y compartimos aquí un análisis detallado. Estos 832 casos representan a aquellos donde contábamos con suficiente información para una evaluación técnica exhaustiva.
El análisis arrojó tres conclusiones fundamentales:
- Los actores maliciosos utilizan la IA de maneras que los hacen más peligrosos, empleándola en las etapas más complejas y avanzadas de sus operaciones.
- Los ciberataques son cada vez más autónomos; la capacidad de la IA para encadenar múltiples fases del ataque invalida las formas tradicionales de diferenciar actores de alto y bajo riesgo.
- El marco MITRE ATT&CK no logra capturar completamente las herramientas y actividades que vuelven a los atacantes habilitados por IA tan peligrosos.
A continuación, presentamos un resumen de estas conclusiones. Puede leer el análisis completo en nuestro blog de Frontier Red Team.
¿Cómo la IA hace a los atacantes más peligrosos?
Las actividades habilitadas por IA más frecuentes en nuestra base de datos se relacionan con la preparación de un ataque, como la creación de malware (560 de las 832 cuentas analizadas, un 67.3%, usaron IA para este fin). Un grupo menor utiliza IA para tareas complejas; por ejemplo, 54 de los 832 actores (6.5%) recurrieron a la IA para el "movimiento lateral", que implica navegar profundamente dentro de una red comprometida.
Hallamos evidencia consistente de que la IA ayuda a elevar el nivel de amenaza. En el primer semestre de nuestro análisis, el 33% de los actores fueron clasificados como de riesgo medio o superior. Para el segundo semestre, esa cifra saltó al 56%, un incremento aproximado de 1.7 veces. A lo largo del periodo, el uso de IA pasó de técnicas de acceso inicial a actividades dentro del sistema. Por ejemplo, el uso de IA para el descubrimiento de cuentas aumentó un 8.9%, mientras que el phishing asistido por IA cayó un 8.6%, sugiriendo que los atacantes aplican la IA en etapas más profundas del ciclo de vida del ataque.
Estas técnicas de "post-compromiso" solían estar reservadas a actores con gran conocimiento técnico. Nuestra investigación demuestra que la IA ahora puede realizar estas actividades en nombre de atacantes menos sofisticados.
¿Por qué es más difícil evaluar el nivel de amenaza?
¿Cómo evalúan los equipos de seguridad el nivel de riesgo de un atacante? Tradicionalmente, utilizaban métricas como la cantidad de técnicas empleadas o las herramientas e interfaces utilizadas. Pero nuestro análisis sugiere que estas señales ya no ofrecen una imagen precisa del riesgo real.
Ahora que la IA puede realizar tareas altamente técnicas, existe poca correlación entre la habilidad del atacante y la cantidad de técnicas utilizadas: los atacantes menos hábiles en nuestro conjunto de datos usaron cerca de 16 técnicas distintas, mientras que los más expertos usaron cerca de 20. Asimismo, la plataforma específica empleada —Claude Code, una API o una interfaz de chat— tampoco se correlacionó con el nivel de riesgo.
Lo que suele distinguir a los actores de mayor riesgo es en qué parte del ciclo de vida del ataque aplican la IA. Por ejemplo, concentran su uso en técnicas operacionalmente exigentes —aquellas que requieren tiempo, supervisión o toma de decisiones en tiempo real— como el descubrimiento de cuentas, el movimiento lateral y la escalada de privilegios, en lugar de solo tareas para ganar acceso inicial. Sin embargo, esa señal también se está erosionando: a medida que más atacantes son clasificados como de alto riesgo, estas técnicas operativas se vuelven comunes. El diferenciador más duradero es el tipo de estructura que los atacantes construyen alrededor del modelo: los actores de mayor riesgo diseñan arquitecturas que permiten a los modelos encadenar etapas discretas de un ciberataque y ejecutarlas con una intervención humana mínima.
¿Por qué los marcos de seguridad deben cambiar?
Muchos de los comportamientos que distinguen a los atacantes de mayor riesgo —como el uso de IA para orquestar pasos en la cadena de ataque secuencialmente, tomar decisiones en tiempo real y ejecutar sin intervención humana— aún no están incluidos como técnicas en el marco MITRE ATT&CK. Consideremos la operación de ciberespionaje estatal que desarticulamos en noviembre de 2025. En ese caso, un actor malicioso manipuló Claude Code para intentar infiltrar objetivos a nivel mundial con mínima intervención humana. Al mapearlo contra MITRE ATT&CK, el actor utilizó 30 técnicas en 13 tácticas, comparable a muchos actores de riesgo medio. Claramente, enfocarse solo en el número de técnicas subestima el peligro real (en contraste, al aplicar nuestra metodología de riesgo, este ataque obtiene la puntuación máxima de 100).
En dicho ataque, el modelo funcionó como un agente autónomo: ejecutó comandos, explotó vulnerabilidades, robó credenciales y tomó decisiones tácticas. No existe un ID en ATT&CK para este tipo de orquestación agente, a pesar de que es el comportamiento que veremos más a menudo a medida que los agentes de IA sean más capaces.
Mirando hacia el futuro
Los hallazgos de este análisis ayudaron a informar las salvaguardas que integramos en nuestros modelos. Hemos desarrollado y desplegado protecciones en nuestros modelos más capaces para detectar y bloquear algunas de las actividades descubiertas, como el desarrollo de malware o la exfiltración masiva de datos. Tras nuestro trabajo con Verizon, estamos en conversaciones con MITRE sobre cómo el marco ATT&CK podría evolucionar para incluir los comportamientos habilitados por IA que observamos.
Los modelos de frontera están cambiando rápidamente las herramientas a disposición de atacantes y defensores. Estamos comprometidos a ayudar a los defensores a anticiparse a estas tácticas y a poner las herramientas más potentes en sus manos primero. Seguiremos compartiendo lo que aprendemos del Project Glasswing, de conjuntos de datos como el que reunimos aquí y de nuestras otras actividades de ciberseguridad. En nuestra publicación del blog Red, compartimos una visualización interactiva de las técnicas utilizadas para ayudar a los defensores a mantenerse al tanto de las amenazas habilitadas por IA.
Contenido relacionado
Introduciendo el Services Track y el Partner Hub de Claude Partner Network
Expandiendo el Project Glasswing
Estamos extendiendo el Project Glasswing a aproximadamente 150 nuevas organizaciones en más de quince países.
Anthropic presenta confidencialmente borrador S-1 a la SEC
Anthropic ha presentado de forma confidencial una declaración de registro S-1 ante la Comisión de Bolsa y Valores.
Suscríbase al boletín del Frontier Red Team
Obtenga actualizaciones sobre nuestras últimas investigaciones de seguridad.
Vía Anthropic.
