1.400 millones de dólares en daños y redes neuronales: así sería el escenario de ciberataques con IA en 2026

El grupo de hackers norcoreano Lazarus está intensificando los ataques de phishing dirigidos a plataformas de criptomonedas y a inversores particulares, obteniendo con ello cientos de millones de dólares. Según el informe de AhnLab, en 2026 los atacantes apostarán por campañas de spear phishing aún más sofisticadas y empezarán a usar con más frecuencia la IA, los deepfakes y trucos para eludir los sistemas de protección.

El grupo Lazarus se considera una de las bandas de ciberdelincuencia más peligrosas, responsable de una serie de ataques sonados contra el mercado de criptomonedas. Los investigadores recuerdan el robo de $1,4 mil millones a la plataforma Bybit el 21 de febrero de 2025 y el ataque a Upbit con un perjuicio de $30 millones. En total, a Lazarus se le atribuyen robos por más de $1,4 mil millones solo en el sector de las criptomonedas en los últimos años. El grupo está vinculado con los servicios de inteligencia de Corea del Norte, por lo que dispone de recursos prácticamente ilimitados para desarrollar y perfeccionar nuevos esquemas de intrusión.

El arma principal de Lazarus se convierte en el spear phishing — el "phishing dirigido", que difiere mucho de los envíos masivos. Antes del ataque, los atacantes estudian a la víctima: recopilan información de redes sociales, perfiles en LinkedIn, correspondencia previa y apariciones públicas. Con esa información falsifican correos que parecen invitaciones reales a conferencias o charlas, ofertas de empleo o entrevistas. A la vista, esos correos son convincentes, contienen saludos adecuados y detalles que es difícil atribuir al spam. Un clic en un enlace o abrir un adjunto y el dispositivo recibe un malware que roba credenciales o da a los atacantes acceso a la red corporativa.

En el informe de AhnLab por el período de octubre de 2024 a septiembre de 2025 se señala que Lazarus apareció en 31 análisis de ataques ya ocurridos, superando a otras bandas activas como Kimsuky (27 menciones) y TA-RedAnt (17 menciones). Además, los objetivos de Lazarus van mucho más allá de los exchanges de criptomonedas: se atacan organizaciones financieras, empresas de TI e incluso la industria de defensa. Los expertos subrayan que el factor humano juega un papel decisivo en el éxito de estas operaciones: empleados y usuarios que confían en correos "verosímiles".

En el entorno cripto estos ataques son especialmente destructivos: las transacciones son irreversibles y el valor de los activos cambia rápidamente. La compromisión de una cartera, de una cuenta en un exchange o de los sistemas internos de una plataforma puede convertirse en la fuga de millones de dólares en cuestión de minutos. Según AhnLab, la resiliencia de Lazarus se explica no solo por las habilidades de sus miembros, sino por el flujo constante de recursos, tanto técnicos como financieros.

AhnLab destaca que en los últimos 12 meses Lazarus ha mantenido de forma constante la condición de una de las principales amenazas para los exchanges de criptomonedas. El informe indica que solo los incidentes con Bybit y Upbit en conjunto aportaron a los atacantes más de $1,43 mil millones. El escenario se repite en muchos casos: la víctima recibe un correo cuidadosamente elaborado, sigue un enlace, introduce sus datos o ejecuta un archivo adjunto y de ese modo abre a los atacantes el acceso a los sistemas del exchange o a sus propios activos.

Ante el aumento de estos ataques, los expertos insisten cada vez más en la necesidad de medidas no solo técnicas sino también conductuales. Para usuarios comunes las reglas básicas siguen siendo las mismas: siempre verificar al remitente por un canal independiente (por ejemplo, a través del sitio oficial de la empresa o sus teléfonos de contacto), activar la autenticación multifactor en todos los servicios relacionados con criptomonedas y cifrar el tráfico, especialmente al realizar operaciones financieras. También se recomienda no hacer clic en enlaces sospechosos ni abrir adjuntos procedentes de remitentes desconocidos o de contactos "demasiado insistentes", y mantener sistemas y aplicaciones actualizados instalando a tiempo los parches de seguridad.

Un bloque de recomendaciones se refiere a la protección contra spear phishing en las transacciones con criptomonedas. Los expertos aconsejan limitar la cantidad de información personal disponible en la red: cuanto menos sepan los atacantes sobre su cargo, hábitos y contactos, más difícil será para ellos preparar un correo verdaderamente creíble. En caso de duda conviene comprobar el mensaje por otra vía: llamar al remitente, enviarle un mensaje por un servicio de mensajería o contactar a través del canal oficial de soporte, en lugar de responder directamente al correo sospechoso.

Para las organizaciones, la disciplina de los usuarios no es suficiente: se requiere una defensa multinivel completa. AhnLab habla de la necesidad de auditorías de seguridad periódicas, control estricto sobre la instalación de actualizaciones, renuncia a sistemas obsoletos y formación continua de empleados para reconocer el phishing y las manipulaciones sociales. El análisis de incidentes de 2025 muestra que atacantes como Lazarus, Kimsuky y TA-RedAnt a menudo explotan precisamente errores humanos y vulnerabilidades en software que no se actualiza desde hace tiempo.

Los especialistas de AhnLab también recomiendan a empresas y usuarios particulares confiar solo en fuentes oficiales de software, evitar descargar programas de sitios dudosos y no abrir archivos recibidos de remitentes desconocidos. Contar con un antivirus moderno y con sistemas de detección de anomalías ayuda a detectar actividad inusual —desde intentos de acceso remoto hasta operaciones sospechosas con criptocarteras. A nivel de redes corporativas esto puede incluir segmentación de la infraestructura, un sistema estricto de permisos y monitorización de los movimientos internos de datos.

Una inquietud particular es el papel de la inteligencia artificial en futuros ataques. Según las previsiones de AhnLab, ya en 2026 la IA se convertirá en una herramienta estándar para los atacantes: con su ayuda se generarán masivamente sitios y correos de phishing realistas sin los errores gramaticales típicos, y también se crearán múltiples variantes de código malicioso para eludir antivirus y sistemas de análisis.

Se presta especial atención a las tecnologías deepfake: videos y audios con la "participación" de directivos de empresas, expertos conocidos o supuestos empleados del exchange pueden utilizarse para aumentar la confianza en solicitudes y enlaces falsos. En su informe, los analistas de AhnLab advierten que los ataques con deepfakes evolucionarán hasta un punto en que será extremadamente difícil para las víctimas distinguir la falsificación de la realidad. Eso aumenta el riesgo de filtraciones de datos confidenciales y hace especialmente importantes las medidas de protección de la información y la monitorización de comportamientos anómalos de cuentas y sistemas.