Nuevos grupos de ransomware impulsados por la IA cambian las reglas del cibercrimen

En apenas un año, el ransomware cambió de forma. Pasó de la encriptación masiva de archivos al chantaje psicológico y legal. De hackers solitarios a empresas delictivas que operan con inteligencia artificial. Los ciberataques ya no buscan solo rescates millonarios: buscan control. Con la IA, el delito se volvió más veloz, más barato y casi imposible de seguir.

Ari Redbord, director global de política en TRM Labs —firma especializada en rastreo de blockchain con sede en San Francisco—, lo resume así: “La inteligencia artificial está transformando por completo el ecosistema del ransomware. No solo vuelve los ataques más escalables, sino que cambia las reglas del juego. Vemos operaciones más veloces, un uso sofisticado de la ingeniería social y tácticas que dependen de la presión reputacional más que del cifrado de datos. Además, la frontera entre los grupos financieros y los actores vinculados a Estados es cada vez más difusa”.

La IA permite generar código malicioso capaz de reescribirse para evadir detección, redactar correos de phishing más verosímiles y automatizar el robo de credenciales. Ataques que antes requerían semanas de preparación hoy se lanzan en horas. Los analistas de TRM Labs identificaron nueve grupos criminales emergentes en los últimos doce meses. Todos usan herramientas impulsadas por IA: campañas automáticas, malware polimórfico, redes de lavado de dinero más complejas. Un ecosistema que se expande con la misma lógica que combate: la escalabilidad.

La mitad de los ataques ya no incluyen encriptación, según TRM Labs. El modelo clásico —bloquear archivos hasta recibir un rescate— fue reemplazado por un chantaje sin secuestro de datos: robar información y amenazar con publicarla. La extorsión ya no apunta a los servidores, sino a la reputación de las empresas.

Conscientes del peso de las autoridades de protección de datos y de los organismos que imponen sanciones por filtraciones, los grupos criminales han comenzado a enviar amenazas a esos entes y a los competidores de la empresa afectada.

En esta nueva ola destacan Arkana Security, responsable de un ataque al proveedor estadounidense WideOpenWest; Dire Wolf, que canaliza el pago mediante plataformas anónimas en la dark web; Frag, una escisión del grupo ruso Akira con operaciones en el sector industrial; y Sarcoma, activo desde 2024, apunta a empresas medianas en América y Europa y se caracteriza por borrar rastros y ejercer presión pública sobre sus víctimas.

A otro nivel operan AiLock y APTLock, los primeros con vínculos estatales claros. AiLock se presenta como un ransomware “asistido por IA” y amenaza con denunciar a las víctimas ante sus propios reguladores. APTLock, según investigadores, estaría ligado al grupo ruso Fancy Bear y mezcla sabotaje, espionaje y extorsión. En ambos casos el móvil financiero se entrelaza con el político. El ransomware se convierte en un instrumento de coerción estatal.

Otros actores, como Kairos, Weyhro y Termite, representan la frontera entre la innovación criminal y el regreso de viejos programas de ransomware. Kairos compra accesos a redes y extorsiona sin cifrar. Weyhro planifica ataques quirúrgicos que destruyen copias de seguridad antes de exigir el pago.

Termite, heredero del desaparecido grupo ruso Babuk, reactivó su código fuente para atacar a empresas que forman parte de las cadenas de suministro de grandes corporaciones, aprovechando su papel como proveedores clave.

El ransomware sigue dependiendo de la economía de las criptomonedas. Bitcoin continúa como moneda preferida, aunque muchos grupos migran hacia Monero y Tron por su opacidad. El lavado de fondos se hace a través de plataformas que disfrazan el recorrido del dinero, como Wasabi, que combina distintas operaciones de criptomonedas para borrar el rastro de su procedencia.

También utilizan exchanges sin verificación, pero la trazabilidad de blockchain sigue siendo su talón de Aquiles. TRM Labs rastrea estos flujos para gobiernos y bancos, e identifica patrones repetitivos: movimientos entre direcciones comunes, puentes entre cadenas, reutilización de carteras. Indicios que permiten recuperar fondos o reconstruir la red financiera del delito.

La IA también se infiltra aquí. Los sistemas automáticos de conversión entre criptomonedas, potenciados por algoritmos, desplazan dinero entre cientos de direcciones en segundos. El resultado: un mercado delictivo más líquido y adaptable, donde cada actor puede ser a la vez autor, intermediario y lavador.

Lo que comenzó como una industria clandestina adquirió dimensión geopolítica. Algunos ataques buscan provocar daño estructural, interrumpir servicios públicos o erosionar la confianza en instituciones críticas. El ransomware se vuelve, así, una forma de guerra digital de baja intensidad: no se anuncian como ataques formales, pero demuestran lo fácil que es golpear la infraestructura digital global.

TRM Labs advierte que la lucha contra esta amenaza no pasa solo por la ciberseguridad tradicional, sino por la cooperación internacional y el rastreo financiero. La inteligencia blockchain —que permite seguir el dinero incluso en redes supuestamente anónimas— se convirtió en una herramienta de disuasión y de política global.