Informe de Inteligencia sobre Amenazas de Anthropic
Anthropic publicó un nuevo informe de inteligencia sobre amenazas el miércoles, que ofrece una visión del futuro del cibercrimen. Este informe documenta cómo los actores maliciosos ya no solo solicitan consejos de codificación a la IA, sino que la utilizan para llevar a cabo ataques en tiempo real, empleando criptomonedas como medio de pago.
El Caso de «Vibe Hacking»
El caso destacado es lo que los investigadores denominan «vibe hacking». En esta campaña, un cibercriminal utilizó Claude Code de Anthropic, un asistente de codificación en lenguaje natural que opera en la terminal, para llevar a cabo una operación de extorsión masiva en al menos 17 organizaciones, que abarcan instituciones gubernamentales, de salud y religiosas.
En lugar de desplegar ransomware clásico, el atacante confió en Claude para automatizar la exploración, recopilar credenciales, penetrar redes y exfiltrar datos sensibles. Claude no solo proporcionó orientación; ejecutó acciones «en teclado», como escanear puntos finales de VPN, escribir malware personalizado y analizar datos robados para determinar qué víctimas podían pagar más.
«Claude generó notas de rescate en HTML personalizadas, adaptadas a cada organización, con cifras financieras, conteos de empleados y amenazas regulatorias.»
Las demandas variaron de $75,000 a $500,000 en Bitcoin. Un operador, potenciado por IA, tenía el poder de un equipo completo de hackers.
El Papel de la IA en el Cibercrimen
Mientras el informe abarca todo, desde espionaje estatal hasta estafas románticas, el hilo conductor es el dinero, y gran parte de él fluye a través de canales de criptomonedas. La campaña de extorsión «vibe hacking» exigió pagos de hasta $500,000 en Bitcoin, con notas de rescate generadas automáticamente por Claude que incluían direcciones de billetera y amenazas específicas para las víctimas.
Una tienda de ransomware como servicio está vendiendo kits de malware construidos con IA en foros de la dark web, donde la criptomoneda es la moneda predeterminada. En el panorama geopolítico más amplio, el fraude de trabajadores de TI habilitado por IA de Corea del Norte canaliza millones hacia los programas de armas del régimen, a menudo blanqueados a través de canales de criptomonedas.
En otras palabras, la IA está escalando los tipos de ataques que ya dependen de las criptomonedas tanto para pagos como para blanqueo, haciendo que las criptomonedas estén más entrelazadas con la economía del cibercrimen que nunca.
Integración de IA en Estrategias de Evasión
Otra revelación: Corea del Norte ha integrado la IA profundamente en su manual de evasión de sanciones. Los operativos de TI del régimen están consiguiendo trabajos remotos fraudulentos en empresas tecnológicas occidentales al falsificar competencia técnica con la ayuda de Claude. Según el informe, estos trabajadores dependen casi por completo de la IA para sus tareas diarias.
«Claude genera currículos, escribe cartas de presentación, responde preguntas de entrevistas en tiempo real, depura código e incluso compone correos electrónicos profesionales.»
El esquema es lucrativo. El FBI estima que estas contrataciones remotas canalizan cientos de millones de dólares anualmente de regreso a los programas de armas de Corea del Norte.
Ransomware como Servicio
Si eso no fuera suficiente, el informe detalla un actor con sede en el Reino Unido (seguido como GTG-5004) que opera una tienda de ransomware sin código. Con la ayuda de Claude, el operador está vendiendo kits de ransomware como servicio (RaaS) en foros de la dark web como Dread y CryptBB.
Por tan solo $400, los criminales aspirantes pueden comprar DLLs y ejecutables impulsados por cifrado ChaCha20. Un kit completo, que incluye una consola PHP, herramientas de comando y control, y evasión de análisis, cuesta $1,200.
Estos paquetes incluyen trucos como FreshyCalls y RecycledGate, técnicas que normalmente requieren un conocimiento avanzado de los internos de Windows para eludir los sistemas de detección de puntos finales. ¿La parte inquietante? El vendedor parece incapaz de escribir este código sin asistencia de IA.
Conclusiones del Informe
El informe de Anthropic enfatiza que la IA ha borrado la barrera de habilidades: cualquiera puede ahora construir y vender ransomware avanzado. También destaca cómo los actores estatales están integrando la IA en sus operaciones.
Un grupo chino que apunta a la infraestructura crítica de Vietnam utilizó Claude en 12 de las 14 tácticas MITRE ATT&CK, desde la exploración hasta la escalada de privilegios y el movimiento lateral.
Más allá de la extorsión y el espionaje de alto perfil, el informe describe cómo la IA está impulsando silenciosamente el fraude a gran escala. Los foros criminales están ofreciendo servicios de identidad sintética y tiendas de carding impulsadas por IA, capaces de validar tarjetas de crédito robadas a través de múltiples API con conmutación por error de nivel empresarial.
Incluso hay un bot de Telegram comercializado para estafas románticas, donde Claude fue publicitado como un «modelo de alta EQ» para generar mensajes emocionalmente manipulativos.
La IA no solo está escribiendo código malicioso, sino que también está redactando cartas de amor a víctimas que no saben que están siendo estafadas.
Anthropic enmarca estas divulgaciones como parte de su estrategia de transparencia más amplia: mostrar cómo sus propios modelos han sido mal utilizados, mientras comparte indicadores técnicos con socios para ayudar al ecosistema más amplio a defenderse contra el abuso.
Las cuentas vinculadas a estas operaciones fueron prohibidas, y se implementaron nuevos clasificadores para detectar usos indebidos similares. Pero la conclusión más importante es que la IA está alterando fundamentalmente la economía del cibercrimen.
«Las suposiciones tradicionales sobre la relación entre la sofisticación del actor y la complejidad del ataque ya no se sostienen.»
Una persona, con el asistente de IA adecuado, ahora puede imitar el trabajo de un equipo completo de hackers. El ransomware está disponible como una suscripción SaaS, y los estados hostiles están integrando la IA en campañas de espionaje. El cibercrimen ya era un negocio lucrativo; con la IA, se está volviendo aterradoramente escalable.
