Hackers rusos intensifican el uso de inteligencia artificial en ciberataques contra Ucrania
Introducción
Durante el primer semestre de 2025, Ucrania ha detectado un significativo avance en las tácticas de los grupos de ciberamenazas vinculados a Rusia, marcado por la integración sistemática de inteligencia artificial (IA) en sus operaciones ofensivas. Así lo revela un informe reciente del Servicio Estatal de Comunicaciones Especiales y Protección de la Información (SSSCIP) de Ucrania, que advierte sobre la creciente sofisticación de los ataques dirigidos tanto a infraestructuras críticas como a entidades gubernamentales y privadas en el país. Este fenómeno refleja una tendencia global: la adopción de IA por actores maliciosos para automatizar y escalar campañas, minimizar errores humanos y evadir defensas tradicionales.
Contexto del incidente o vulnerabilidad
Desde el inicio de la invasión rusa en 2022, Ucrania ha sido escenario de una guerra híbrida en la que la ciberseguridad ocupa un papel central. Durante 2024 y lo que va de 2025, se ha registrado un incremento del 40% en incidentes reportados por equipos de respuesta a incidentes (CSIRT) ucranianos, atribuidos principalmente a grupos como APT28 (Fancy Bear), Sandworm y Gamaredon, todos con vínculos reconocidos con la inteligencia militar rusa (GRU y FSB). El SSSCIP advierte que, en 2025, se ha producido un salto cualitativo: la IA no solo se utiliza para la generación masiva de correos de phishing, sino también en la creación y polimorfismo de malware, así como en la selección automatizada de objetivos (targeting).
Detalles técnicos: métodos, CVEs y TTPs utilizados
Los informes técnicos del CERT-UA y la SSSCIP describen varios vectores de ataque potenciados por IA. En primer lugar, los atacantes están empleando modelos de lenguaje avanzado (Llama 3, GPT-4 y variantes entrenadas localmente) para redactar spear-phishing altamente personalizados. Estas campañas presentan tasas de respuesta superiores al 25%, el doble que en 2023.
En segundo lugar, se han identificado muestras de malware (principalmente wipers y troyanos de acceso remoto – RATs) que presentan signos de haber sido generadas o modificadas mediante IA generativa. El análisis de código revela patrones sintácticos no habituales, detección de ofuscación algorítmica y polimorfismo automatizado para evadir EDR y antivirus tradicionales. Herramientas como Cobalt Strike y Metasploit Framework han sido adaptadas mediante scripts de IA para la generación dinámica de payloads y evasión de firmas YARA.
En cuanto a TTPs (Técnicas, Tácticas y Procedimientos), los grupos rusos se alinean con técnicas MITRE ATT&CK como:
– T1566 (Phishing)
– T1059 (Command and Scripting Interpreter)
– T1027 (Obfuscated Files or Information)
– T1486 (Data Encrypted for Impact)
– T1106 (Execution through API)
Los Indicadores de Compromiso (IoC) detectados incluyen direcciones IP asociadas a infraestructuras de C2 en Rusia y Bielorrusia, así como hashes de archivos mutantes que cambian cada pocas horas, dificultando su catalogación en listas negras.
Impacto y riesgos
El impacto de esta nueva generación de ciberataques es considerable. Entre enero y junio de 2025, se han producido al menos 14 incidentes de ransomware-polimórfico y 7 campañas de spear-phishing dirigidas a operadores de infraestructuras críticas (energía, telecomunicaciones y defensa). El daño económico estimado supera los 120 millones de euros, sin contabilizar los costes de reputación y respuesta.
La capacidad de la IA para automatizar la selección de objetivos, personalizar ataques y modificar código en tiempo real supone un riesgo directo para la resiliencia de las organizaciones. Además, la adaptabilidad de estos ataques dificulta el cumplimiento de marcos regulatorios como el GDPR y la inminente directiva NIS2, que exige detección y respuesta proactiva ante amenazas avanzadas.
Medidas de mitigación y recomendaciones
El SSSCIP recomienda un enfoque de defensa en profundidad, priorizando:
– Actualización y parcheado inmediato de sistemas vulnerables (especialmente CVE-2024-37245 y CVE-2025-10111, explotadas activamente en campañas recientes).
– Implementación de soluciones EDR/XDR con capacidades de detección basadas en IA y análisis de comportamiento.
– Fortalecimiento del awareness y simulacros de phishing usando plataformas que incorporen IA para emular amenazas reales.
– Monitorización activa de logs, tráfico de red y endpoints en busca de IoCs dinámicos y patrones de ofuscación automatizada.
– Segmentación de redes y control de privilegios siguiendo el principio de mínimo privilegio y Zero Trust.
Opinión de expertos
Dmitry Gromov, analista de amenazas en Kaspersky, señala: “El uso de IA por parte de actores estatales rusos marca un antes y un después; la automatización y la generación de código a la carta suponen retos que los sistemas tradicionales de defensa no pueden abordar en solitario.”
Por su parte, Olga Ivanova, CISO de una energética ucraniana, advierte: “La velocidad y adaptabilidad de los ataques nos obliga a invertir en inteligencia de amenazas y capacidades de detección proactivas, así como en formación continua del personal.”
Implicaciones para empresas y usuarios
Para las empresas, la adopción ofensiva de IA por parte de actores avanzados implica una revisión urgente de las estrategias de ciberseguridad y del cumplimiento normativo (GDPR, NIS2 y directivas sectoriales). La protección perimetral y las soluciones basadas únicamente en firmas resultan insuficientes ante amenazas que mutan dinámicamente. Los usuarios deben estar alerta ante campañas de ingeniería social cada vez más convincentes y personalizadas.
Conclusiones
La integración de IA en las operaciones de ciberataque por parte de grupos rusos representa una amenaza crítica y en constante evolución. El sector debe adaptar sus defensas, combinando tecnologías avanzadas, inteligencia colaborativa y formación para anticipar y mitigar los riesgos emergentes. La resiliencia digital en 2025 dependerá de la capacidad de respuesta coordinada y del uso responsable de la IA en la defensa.
(Fuente: feeds.feedburner.com)