La inteligencia artificial, que en muchos sectores se presenta como una herramienta de transformación positiva, también está siendo aprovechada con fines delictivos. Según un reciente informe de Cisco Talos, la división de ciberinteligencia de Cisco, los ciberdelincuentes están empleando grandes modelos de lenguaje (LLMs) para planificar, ejecutar y perfeccionar sus ataques. Esta tendencia marca un cambio preocupante en el panorama de la ciberseguridad.
Los investigadores alertan de que los atacantes no solo recurren a modelos de IA públicos, sino que también utilizan versiones modificadas o diseñadas específicamente sin restricciones. Estas herramientas permiten redactar mensajes de phishing altamente realistas, sin errores gramaticales ni señales que puedan levantar sospechas, lo que incrementa notablemente el riesgo de que las víctimas entreguen información confidencial.
Entre los modelos identificados destacan Ollama y WhiteRabbitNeo, este último promovido incluso como solución para operaciones ofensivas y defensivas de ciberseguridad. Además, Cisco Talos advierte de que los delincuentes están aprendiendo a eliminar las barreras de seguridad integradas en estos sistemas, modificando los conjuntos de datos de entrenamiento o ajustando los parámetros del modelo para esquivar sus limitaciones éticas.
El informe también pone el foco en una amenaza emergente: el desarrollo de LLMs maliciosos personalizados que se distribuyen activamente en la web oscura. Modelos como GhostGPT, WormGPT, DarkGPT, DarkestGPT o FraudGPT están siendo utilizados para generar código dañino, crear troyanos, ransomware, y automatizar tareas delictivas como la verificación de tarjetas robadas o la detección de vulnerabilidades en sitios web. En el caso de FraudGPT, incluso se ha vinculado con campañas de estafa más amplias.
A pesar del auge de estos modelos sin restricciones, muchos atacantes continúan explotando LLMs legítimos y ampliamente disponibles, aprovechando su estabilidad y acceso más sencillo. Para ello, emplean técnicas como la inyección inmediata (prompt injection), con la que intentan saltarse las protecciones incorporadas y lograr respuestas a consultas potencialmente peligrosas o ilegales.
Ante esta realidad, Cisco recomienda adaptar las estrategias de seguridad a esta nueva amenaza. Según Ángel Ortiz, director de ciberseguridad de Cisco España, es fundamental monitorizar el tráfico relacionado con IA, detectar actividades sospechosas y formar al personal para identificar correos electrónicos generados por modelos de lenguaje. Asimismo, insta a trabajar exclusivamente con plataformas confiables y bien protegidas, reduciendo así los riesgos asociados al uso indebido de estas tecnologías.
La proliferación de LLMs y su potencial malicioso evidencian que la batalla por la ciberseguridad ya no se libra solo entre humanos, sino también entre algoritmos. Por tanto, la vigilancia, la formación y la responsabilidad tecnológica serán claves para mitigar los nuevos riesgos que plantea la era de la inteligencia artificial.
Si (
No(
