2026 Year of the Evasive Adversary

Ese es el título que le ha puesto el equipo de Crowdstrike a su informe de inteligencia "2026 Global Threat Report - Year of the Evasive Adversary", donde recoge datos de cómo el mundo del Cibercrimen se ha ido adaptando masivamente a las nuevas herramientas de ciberseguridad, pero también al mundo de la Inteligencia Artificial.

Figura 1: 2026 Year of the Evasive Adversary

En nuestro primer libro dedicado al uso de GenAI nos centramos en el uso de Inteligencia Artificial para hacer Hacking & Pentesting, o lo que es lo mismo, para usar la Inteligencia Artificial en fases de Seguridad Ofensiva, que es lo que principalmente interesa al mundo del cibercrimen.

Figura 2: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso.

En el informe de Crowstrike no sólo se habla de la parte de Inteligencia Artificial, sino especialmente de los grupos de adversarios que están más activos en el mundo del cibercrimen, con operaciones de Ransomware, intrusiones en sistemas, y explotación de todas las vulnerabilidades conocidas y no conocidas, a través de cadena de suministro, usuarios, o dispositivos conectados a las redes. 

Figura 3: Tabla de contenidos del informe de Crowdstrike

Para la parte de Seguridad Ofensiva en el mundo del Cibercrimen, el informe tiene algunos datos muy curiosos, como poor ejemplo el incremento del uso de IA por parte de los adversarios en un 89%, algo que ya vimos en también en el informe de Weaponized AI.

Figura 4: Datos de incremento de la actividad de los adversarios

La media de tiempo que necesitan los atacantes para conseguir acceso a los sistemas es de 29 minutos, y algunos solo 27 segundos, gracias a exploits como los de React (10/10) que tuvimos el año pasado. Además se han detectado 24 nuevos grupos de adversarios, y el uso de vulnerabilidades de 0Day compradas en el mercado negro.

Figura 5: Menciones de modelos de IA en foros de cibrercrimen

Entre los datos curiosos del informe, está el gráfico anterior, donde se recogen, mes a mes, las menciones en los foros de Cibercimen con respecto a los modelos de IA, lo que demuestra cómo el interés principal sigue siendo en ChatGPT, seguido de Gemini, Grok DeepSeek y Claude. 

Al final, como hemos visto en muchos casos, el uso de IA es clave para estos grupos adversarios, donde se usa para construir la explotación, para evitar ser detectados, o recopilar el máximo posible de datos de las máquinas infectadas.

Figura 6: Usos de IA por parte de los grupos adversarios

Además, se ha podido comprobar como muchos grupos hacen el malware completamente usando Prompts en LLMs, para conseguir la explotación perfecta de los equipos infectados. En la imagen siguiente un LLM-Enabled Malware del grupo FANCY Bear que a golpe de Prompt ejecuta sus acciones.

Figura 7: LLM-Enable Malware

Pero no sólo se hace uso de Inteligencia Artificial para ejecutar sus acciones, sino que además se ha empezado a detectar el uso de ataques especialmente diseñados para servicios digitales hechos con Inteligencia Artificial, es decir, Hacking IA.

Figura 8:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

En la siguiente imagen se ven cómo se han detectado explotación de vulnerabilidades de sistemas de Inteligencia Artificial como el CVE-2025-3248 de Langflow, o ataques saltándose los controles de seguridad para explotar MCP (Model Context Protocol).

Figura 9: Threats de servicios de IA.

De todo esto os he hablado muchas veces, en mis conferencias, así que si te interesa este tema, te dejo una conferencia donde hablo de estos temas, además de recomendarte "strongly" nuestro último libro de "Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment".

Figura 10: Ciberseguridad & Inteligencia Artificial enNerdearla España 2025 por Chema Alonso

Para que os hagáis una idea, la última parte del informe trae varias recomendaciones, pero os dejo la primera de todas, que es que si quieres sacar provecho de los modelos de Inteligencia Artificial, tienes que hacer despliegue de guardarails en la empresa para asegurar que no estamos poniendo la compañía en riesgo.

Figura 11: Recomendaciones de seguridad en el informe

Como podemos ver, la Ciberseguridad y la Inteligencia Artificial son ya inseparables, así que más vale que conozcas todas estas disciplinas de Machine Learning, Cognitive Services, GenAI, etcétera, tanto como herramientas para hacer Seguridad Offensiva, como objetivos a fortificar para evitar los bugs que llevan consigo.

Figura 12: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)