En breve
- Un nuevo informe de Anthropic dice que los ciberdelincuentes están utilizando IA para ejecutar campañas de extorsión en tiempo real, con notas de rescate usando Bitcoin como medio de pago.
- Operativos norcoreanos están falsificando habilidades técnicas con IA para conseguir trabajos tecnológicos occidentales, canalizando millones hacia programas de armamento, a menudo lavados a través de criptomonedas.
- Un actor con base en el Reino Unido está vendiendo kits de ransomware como servicio construidos con IA en foros de la dark web, con pagos liquidados en criptomonedas.
Anthropic publicó un nuevo informe de inteligencia de amenazas el miércoles que se lee como un vistazo al futuro del cibercrimen.
Su informe documenta cómo los actores maliciosos ya no solo piden consejos de codificación a la IA, sino que la están utilizando para ejecutar ataques en tiempo real—y usando criptomonedas como medio de pago.
El caso destacado es lo que los investigadores llaman "vibe hacking." En esta campaña, un ciberdelincuente utilizó el Claude Code de Anthropic—un asistente de codificación en lenguaje natural que se ejecuta en la terminal—para llevar a cabo una operación de extorsión masiva en al menos 17 organizaciones que abarcan instituciones gubernamentales, sanitarias y religiosas.
En lugar de desplegar ransomware clásico, el atacante confió en Claude para automatizar el reconocimiento, recopilar credenciales, penetrar redes y extraer datos sensibles. Claude no solo proporcionó orientación; ejecutó acciones "en teclado" como escanear puntos finales de VPN, escribir malware personalizado y analizar datos robados para determinar qué víctimas podrían pagar más.
Luego vino la extorsión: Claude generó notas de rescate HTML personalizadas, adaptadas a cada organización con cifras financieras, recuentos de empleados y amenazas regulatorias. Las demandas oscilaban entre $75,000 y $500,000 en Bitcoin. Un operador, aumentado por IA, tenía el poder de fuego de todo un equipo de hackers.
Las criptomonedas impulsan el crimen potenciado por IA
Mientras que el informe abarca todo, desde el espionaje estatal hasta las estafas románticas, el hilo conductor es el dinero—y gran parte fluye a través de canales cripto. La campaña de extorsión "vibe hacking" exigía pagos de hasta $500,000 en Bitcoin, con notas de rescate generadas automáticamente por Claude para incluir direcciones de billeteras y amenazas específicas para cada víctima.
Una tienda separada de ransomware como servicio está vendiendo kits de malware construidos con IA en foros de la dark web donde las criptomonedas son la moneda predeterminada. Y en el panorama geopolítico más amplio, el fraude de trabajadores de TI de Corea del Norte habilitado por IA canaliza millones hacia los programas de armas del régimen, a menudo lavados a través de canales cripto.
En otras palabras: la IA está escalando los tipos de ataques que ya dependen de las criptomonedas tanto para los pagos como para el lavado, haciendo que las criptomonedas estén más estrechamente entrelazadas con la economía del cibercrimen que nunca.
El esquema de trabajadores de TI impulsado por IA de Corea del Norte
Otra revelación: Corea del Norte ha integrado profundamente la IA en su manual de evasión de sanciones. Los operativos de TI del régimen están consiguiendo trabajos remotos fraudulentos en empresas tecnológicas occidentales falsificando competencia técnica con la ayuda de Claude.
Según el informe, estos trabajadores dependen casi por completo de la IA para las tareas diarias. Claude genera currículums, escribe cartas de presentación, responde preguntas de entrevistas en tiempo real, depura código e incluso redacta correos electrónicos profesionales.
El esquema es lucrativo. El FBI estima que estas contrataciones remotas canalizan cientos de millones de dólares anualmente de vuelta a los programas de armas de Corea del Norte. Lo que solía requerir años de formación técnica de élite en universidades de Pyongyang ahora puede simularse al instante con IA.
Ransomware a la venta: Sin código, construido con IA
Si eso no fuera suficiente, el informe detalla un actor con base en el Reino Unido (rastreado como GTG-5004) que opera una tienda de ransomware sin código. Con la ayuda de Claude, el operador está vendiendo kits de ransomware como servicio (RaaS) en foros de la dark web como Dread y CryptBB.
Por tan solo $400, los aspirantes a criminales pueden comprar DLLs y ejecutables impulsados por encriptación ChaCha20. Un kit completo con una consola PHP, herramientas de comando y control, y evasión de análisis cuesta $1,200. Estos paquetes incluyen trucos como FreshyCalls y RecycledGate, técnicas que normalmente requieren conocimiento avanzado de los componentes internos de Windows para eludir sistemas de detección de endpoints.
¿La parte inquietante? El vendedor parece incapaz de escribir este código sin la asistencia de IA. El informe de Anthropic enfatiza que la IA ha eliminado la barrera de habilidades—cualquiera puede ahora construir y vender ransomware avanzado.
Operaciones respaldadas por estados: China y Corea del Norte
El informe también destaca cómo los actores estatales están integrando la IA en sus operaciones. Un grupo chino que atacaba infraestructura crítica vietnamita utilizó Claude en 12 de 14 tácticas MITRE ATT&CK—todo, desde reconocimiento hasta escalada de privilegios y movimiento lateral. Los objetivos incluían proveedores de telecomunicaciones, bases de datos gubernamentales y sistemas agrícolas.
Por separado, Anthropic dice que interrumpió automáticamente una campaña de malware norcoreana vinculada al infame esquema "Contagious Interview". Las salvaguardas automatizadas detectaron y prohibieron cuentas antes de que pudieran lanzar ataques, forzando al grupo a abandonar su intento.
La cadena de suministro del fraude, potenciada por IA
Más allá de la extorsión de alto perfil y el espionaje, el informe describe cómo la IA está impulsando silenciosamente el fraude a escala. Los foros criminales están ofreciendo servicios de identidad sintética y tiendas de carding impulsadas por IA capaces de validar tarjetas de crédito robadas a través de múltiples APIs con conmutación por error de nivel empresarial.
Incluso hay un bot de Telegram comercializado para estafas románticas, donde Claude se anunciaba como un "modelo de alto EQ" para generar mensajes emocionalmente manipuladores. El bot manejaba múltiples idiomas y atendía a más de 10,000 usuarios mensualmente, según el informe. La IA no solo está escribiendo código malicioso—está escribiendo cartas de amor a víctimas que no saben que están siendo estafadas.
Por qué importa
Anthropic enmarca estas revelaciones como parte de su estrategia de transparencia más amplia: mostrar cómo sus propios modelos han sido mal utilizados, mientras comparte indicadores técnicos con socios para ayudar al ecosistema más amplio a defenderse contra el abuso. Las cuentas vinculadas a estas operaciones fueron prohibidas, y se implementaron nuevos clasificadores para detectar usos indebidos similares.
Pero la conclusión más importante es que la IA está alterando fundamentalmente la economía del cibercrimen. Como el informe afirma sin rodeos, "Las suposiciones tradicionales sobre la relación entre la sofisticación del actor y la complejidad del ataque ya no se sostienen."
Una persona, con el asistente de IA adecuado, puede ahora imitar el trabajo de todo un equipo de hackers. El ransomware está disponible como una suscripción SaaS. Y los estados hostiles están integrando la IA en campañas de espionaje.
El cibercrimen ya era un negocio lucrativo. Con la IA, se está volviendo aterradoramente escalable.
Boletín Generally Intelligent
Un viaje semanal de IA narrado por Gen, un modelo de IA generativa.
Fuente: https://decrypt.co/337055/vibe-hacking-criminals-weaponizing-ai-help-bitcoin-anthropic
