En Resumen
- Anthropic documentó en su informe cómo cibercriminales utilizaron Claude Code para ejecutar una campaña de extorsión masiva contra 17 organizaciones, automatizando desde reconocimiento hasta la creación de notas de rescate personalizadas.
- El reporte reveló que Corea del Norte integró IA profundamente en esquemas fraudulentos de trabajadores de TI, canalizando cientos de millones de dólares anuales hacia programas de armas del régimen.
- Los investigadores identificaron tiendas de ransomware-as-a-service que venden kits de malware construidos por IA en foros de la web oscura, eliminando las barreras técnicas tradicionales del cibercrimen.
Anthropic publicó un nuevo reporte de inteligencia de amenazas el miércoles que se lee como un vistazo al futuro del cibercrimen.
Su informe documenta cómo los actores maliciosos ya no solo le piden consejos de programación a la IA, sino que la están usando para ejecutar ataques en tiempo real, y utilizando criptomonedas para los rieles de pago.
El caso destacado es lo que los investigadores llaman "vibe hacking". En esta campaña, un cibercriminal usó Claude Code de Anthropic—un asistente de codificación en lenguaje natural que se ejecuta en la terminal—para llevar a cabo una operación de extorsión masiva en al menos 17 organizaciones que abarcaban instituciones gubernamentales, de salud y religiosas.
En lugar de desplegar ransomware clásico, el atacante confió en Claude para automatizar el reconocimiento, recolectar credenciales, penetrar redes y filtrar datos sensibles. Claude no solo proporcionó orientación; ejecutó acciones "en teclado" como escanear endpoints VPN, escribir malware personalizado y analizar datos robados para determinar qué víctimas podrían pagar más.
Luego llegó la extorsión: Claude generó notas de rescate HTML personalizadas, adaptadas a cada organización con cifras financieras, conteos de empleados y amenazas regulatorias. Las demandas oscilaron entre $75.000 y $500.000 en Bitcoin. Un operador, potenciado por IA, tenía la potencia de fuego de un equipo completo de hacking.
Las criptomonedas impulsan el crimen potenciado por IA
Si bien el informe abarca desde espionaje estatal hasta estafas románticas, el hilo conductor es el dinero, y gran parte fluye a través de rieles cripto. La campaña de extorsión "vibe hacking" exigió pagos de hasta $500.000 en Bitcoin, con notas de rescate auto-generadas por Claude para incluir direcciones de billeteras y amenazas específicas para las víctimas.
Una tienda separada de ransomware-as-a-service está vendiendo kits de malware construidos por IA en foros de la web oscura donde las criptomonedas son la moneda predeterminada. Y en el panorama geopolítico más amplio, el fraude de trabajadores de TI habilitado por IA de Corea del Norte canaliza millones hacia los programas de armas del régimen, a menudo lavados a través de canales cripto.
En otras palabras: la IA está escalando los tipos de ataques que ya dependen de criptomonedas tanto para pagos como para lavado, haciendo que las criptomonedas estén más estrechamente entrelazadas con la economía del cibercrimen que nunca.
El esquema de trabajadores de TI potenciado por IA de Corea del Norte
Otra revelación: Corea del Norte ha tejido la IA profundamente en su manual de evasión de sanciones. Los operativos de TI del régimen están consiguiendo empleos remotos fraudulentos en empresas tecnológicas occidentales al fingir competencia técnica con la ayuda de Claude.
Según el informe, estos trabajadores son casi completamente dependientes de la IA para tareas del día a día. Claude genera currículums, escribe cartas de presentación, responde preguntas de entrevistas en tiempo real, depura código e incluso compone correos electrónicos profesionales.
El esquema es lucrativo. El FBI estima que estas contrataciones remotas canalizan cientos de millones de dólares anualmente de vuelta a los programas de armas de Corea del Norte. Lo que solía requerir años de entrenamiento técnico de élite en universidades de Pyongyang ahora puede simularse sobre la marcha con IA.
Ransomware en venta: Sin código, construido por IA
Si eso no fuera suficiente, el informe detalla un actor con base en Reino Unido (rastreado como GTG-5004) que maneja una tienda de ransomware sin código. Con la ayuda de Claude, el operador está vendiendo kits de ransomware-as-a-service (RaaS) en foros de la web oscura como Dread y CryptBB.
Por tan solo $400, los criminales aspirantes pueden comprar DLLs y ejecutables impulsados por encriptación ChaCha20. Un kit completo con una consola PHP, herramientas de comando y control, y evasión anti-análisis cuesta $1.200. Estos paquetes incluyen trucos como FreshyCalls y RecycledGate, técnicas que normalmente requieren conocimiento avanzado de internos de Windows para eludir sistemas de detección de endpoints.
¿La parte perturbadora? El vendedor parece incapaz de escribir este código sin asistencia de IA. El informe de Anthropic enfatiza que la IA ha borrado la barrera de habilidades: cualquiera ahora puede construir y vender ransomware avanzado.
Operaciones respaldadas por estados: China y Corea del Norte
El informe también destaca cómo los actores estado-nación están integrando IA en sus operaciones. Un grupo chino que apuntaba a infraestructura crítica vietnamita usó Claude en 12 de 14 tácticas MITRE ATT&CK: desde reconocimiento hasta escalación de privilegios y movimiento lateral. Los objetivos incluyeron proveedores de telecomunicaciones, bases de datos gubernamentales y sistemas agrícolas.
Por separado, Anthropic afirma que auto-interrumpió una campaña de malware norcoreana vinculada al infame esquema "Contagious Interview". Las salvaguardas automatizadas detectaron y prohibieron cuentas antes de que pudieran lanzar ataques, forzando al grupo a abandonar su intento.
La cadena de suministro del fraude, supercargada por IA
Más allá de la extorsión de alto perfil y el espionaje, el informe describe la IA impulsando silenciosamente el fraude a escala. Los foros criminales están ofreciendo servicios de identidad sintética y tiendas de carding impulsadas por IA capaces de validar tarjetas de crédito robadas a través de múltiples APIs con failover de grado empresarial.
Incluso hay un bot de Telegram comercializado para estafas románticas, donde Claude fue publicitado como un "modelo de alto EQ" para generar mensajes emocionalmente manipuladores. El bot manejaba múltiples idiomas y servía a más de 10.000 usuarios mensualmente, según el informe. La IA no solo está escribiendo código malicioso: está escribiendo cartas de amor a víctimas que no saben que están siendo estafadas.
Por qué importa
Anthropic enmarca estas revelaciones como parte de su estrategia de transparencia más amplia: mostrar cómo sus propios modelos han sido mal utilizados, mientras comparte indicadores técnicos con socios para ayudar al ecosistema más amplio a defenderse contra el abuso. Las cuentas vinculadas a estas operaciones fueron prohibidas, y se desplegaron nuevos clasificadores para detectar mal uso similar.
Sin embargo, la conclusión más importante es que la IA está alterando fundamentalmente la economía del cibercrimen. Como lo dice contundentemente el informe, "Las suposiciones tradicionales sobre la relación entre la sofisticación del actor y la complejidad del ataque ya no se sostienen".
Una persona, con el asistente de IA correcto, ahora puede imitar el trabajo de un equipo completo de hacking. El ransomware está disponible como una suscripción SaaS. Y los estados hostiles están integrando IA en campañas de espionaje.
El cibercrimen ya era un negocio lucrativo. Con IA, se está volviendo aterradoramente escalable.