.
El modelo de negocio del cibercrimen está experimentando una mutación tan profunda como silenciosa. Durante la última década, el ransomware se consolidó como el paradigma dominante de monetización ilícita, basado en un principio económicamente brutal: encriptar los datos de una víctima y exigir un rescate a cambio de la clave de descifrado. Sin embargo, los datos agregados por las principales empresas de respuesta a incidentes durante 2025 revelan un cambio sísmico en las preferencias de los adversarios. Los pagos por rescate disminuyeron a 734 millones de dólares a nivel global, una caída significativa respecto a los máximos históricos de 2023. Simultáneamente, el robo de credenciales mediante infostealers alcanzó una cifra astronómica: más de 1.800 millones de credenciales de acceso fueron comprometidas solo en la primera mitad del año, según datos recopilados por el equipo de inteligencia de amenazas de CrowdStrike. Los atacantes han comprendido una verdad incómoda para los defensores: es mucho más eficiente secuestrar la identidad digital de un usuario legítimo que encriptar sus discos duros. La credencial robada no hace ruido, no activa alarmas de integridad de archivos y permite al adversario moverse lateralmente bajo el manto de la legitimidad.
.
Esta tendencia hacia las intrusiones sin malware, también conocidas como «living off the land», está redefiniendo las prioridades estratégicas de los equipos de seguridad. Ya no se trata solo de impedir que un ejecutable malicioso aterrice en un endpoint; se trata de detectar cuándo un usuario legítimo, con sus credenciales perfectamente válidas, está actuando de manera anómala. Los informes de la industria para 2026 coinciden en que la gran mayoría de las intrusiones exitosas ya no requieren que el atacante sea un experto en explotación de memoria o en ingeniería inversa de parches de seguridad. Lo único que necesita es comprar, en un mercado ilegal de la dark web, una cookie de sesión de un administrador de sistemas que no ha cerrado su navegador en semanas. Esta economía del acceso inicial ha democratizado el cibercrimen de una manera que los modelos de amenazas tradicionales no anticiparon.
.
Pero la verdadera disrupción, la que mantiene despiertos por la noche a los analistas de inteligencia de amenazas, viene de la mano de un fenómeno que los investigadores han denominado «vibe hacking». El término, que puede sonar casi frívolo, describe una realidad operativa profundamente preocupante: el uso de inteligencia artificial generativa por parte de actores maliciosos de bajo nivel técnico para generar código de extracción de datos, scripts de reconocimiento de red y herramientas de adversary-in-the-middle que se adaptan en tiempo real a las defensas que encuentran. Un estudio publicado en diciembre de 2025 por el equipo de investigación de SentinelOne demostró que un usuario sin conocimientos avanzados de programación podía, mediante ingeniería de prompts cuidadosamente diseñada, hacer que un modelo como GPT-4 generara un ransomware polimórfico capaz de evadir las firmas de los principales antivirus. La herramienta, bautizada internamente como MalTerminal, es la prueba de concepto de que el malware conversacional no es una especulación futurista, sino una realidad operativa que ya está siendo utilizada en campañas activas.
.
Las implicaciones económicas de esta democratización son profundas. Estamos asistiendo a una nueva estratificación del crimen organizado digital. En la cúspide, una élite tecnológica desarrolla «platform-as-a-service» para alquilar agentes de inteligencia artificial maliciosos. Estos agentes no son simples chatbots; son sistemas autónomos que realizan reconocimiento, explotación y exfiltración de datos con mínima supervisión humana. En la base, una masa creciente de «script kiddies aumentados por IA» puede ejecutar ataques hiperpersonalizados a una escala que antes solo estaba al alcance de los grupos de amenazas persistentes avanzadas (APT) más sofisticados. Esta nueva economía está reactivando, paradójicamente, viejas amenazas que muchos equipos de seguridad daban por amortiguadas. Los ataques de denegación de servicio distribuido, o DDoS, que habían pasado de moda frente al ransomware más lucrativo, están experimentando un resurgimiento espectacular. El razonamiento de los atacantes es fríamente lógico: dado que la presión regulatoria y las mejoras en las estrategias de copias de seguridad están reduciendo drásticamente la tasa de pago de rescates, los adversarios están volviendo a lo básico. Si no puedo cobrar por descifrar los datos de mi víctima, cobraré por no derribar su infraestructura. Los pronósticos para 2026 anticipan un año récord en ataques DDoS tanto en volumen de peticiones por segundo como en velocidad de ataque, potenciados por redes de bots orquestadas por algoritmos de inteligencia artificial que aprenden los patrones de mitigación de los defensores y los evaden en tiempo real.
.
En este nuevo panorama, la autenticación multifactor, que durante años fue aclamada como la solución definitiva contra el robo de credenciales, está mostrando sus limitaciones. Los infostealers modernos no solo roban contraseñas; roban cookies de sesión, tokens de actualización de OAuth y credenciales de aplicaciones que eluden la necesidad del segundo factor. La nueva frontera de la defensa es la detección continua del riesgo de identidad en tiempo real, un campo emergente que busca evaluar no solo «quién eres», sino «qué tan peligroso eres para la organización en este preciso instante», analizando el contexto del acceso, el comportamiento del usuario y la rareza estadística de cada acción. En este nuevo orden, el infostealer es el caballo de Troya que abre las puertas de la ciudad amurallada, y la inteligencia artificial es el jinete que cabalga a través de ellas.
.
Para más contenido como este, únete a nuestra comunidad de Informática Forense, Pentester, Osint y Jurídico. Telegram: LAZARUS_VENEZUELA
