Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Una alianza peligrosa: el nuevo mercado de la Dark Web + IA
En un mundo donde la Inteligencia Artificial está redefiniendo industrias enteras y la forma en que trabajamos, su impacto más inquietante se está produciendo lejos del foco público: en el ecosistema de la Dark Web.
Lo que antes era un lugar anónimo para compartir y vender información en foros underground con ciertas actividades ilícitas, hoy en día se ha convertido en un mercado altamente especializado, con todo tipo de herramientas de IA para automatizar ataques y sofisticar el mercado.
La IA ha transformado el panorama de la ciberdelincuencia.
En solo un año, las menciones y ventas de herramientas de IA en la Dark Web se han disparado más de un 200%. Las estafas de suplantación de identidad se han multiplicado por cuatro, y el 73% de las empresas a nivel global han sufrido alguna brecha de seguridad relacionada con la IA. Lo que antes requería conocimientos técnicos avanzados, ahora puede hacerse con simples instrucciones en lenguaje natural: ¡Basta con pagar una suscripción mensual!
¿Podrías distinguir entre la voz real de tu jefe y una clonada por Inteligencia Artificial pidiendo acceso urgente a sistemas críticos?
Sin embargo, hay que destacar que según el Informe de 'Adversarial Misuse of Generative AI' de Google Threat Intelligence, la IA no ha sido utilizada todavía para desarrollar capacidades innovadoras de ciberataques; sino más bien, ha servido para mejorar la productividad y automatizar las tareas básicas.
El rol de la IA en el mercado negro
El gran cambio en el ecosistema ha sido la incorporación de la IA para automatizar y escalar distintas modalidades de fraude:
- La suplantación de identidad avanzada. Los modelos de lenguaje similares a ChatGPT, permiten crear mensajes de phishing hiperrealistas, personalizados con los datos reales obtenidos de redes sociales y filtraciones masivas. Lo que antes requería habilidades avanzadas en ingeniería social, ahora es accesible para cualquier actor, gracias a herramientas como FraudGPT, que permiten a los estafadores generar código malicioso y montar campañas fraudulentas convincentes, sin conocimientos previos.
Este modelo de "Phishing as a Service" se alquila por suscripción. Como si fuera Netflix, pero con fines ilícitos.
- Los deepfakes financieros. La IA ha permitido una gran mejora en la creación de videos y audios sintéticos. Mediante la clonación de voces y rostros de altos ejecutivos, los atacantes pueden crear audios y vídeos sintéticos convincentes que se utilizan para autorizar transferencias millonarias o manipular decisiones críticas.
Pero el problema va más allá de las imitaciones audiovisuales, la falsificación de documentos legales —incluidas firmas generadas con IA— se ha convertido en una tendencia mucho mayor, que se comercializa libremente. - La automatización de ataques: Se han desarrollado herramientas a partir modelos de lenguaje de código abierto denominadas “Generative AI malware”, como WormGPT, DarkBERT o EvilGPT que aprenden y modifican su código malicioso usando IA, evadiendo la detección por parte de los antivirus tradicionales. En 2025, esta tendencia ha evolucionado con la aparición de Xanthorox, una plataforma que va más allá de una simple variante de modelo de lenguaje natural como las anteriores, se trata de una plataforma desarrollada desde cero con una arquitectura modular compuesta por varios modelos de IA especializados, alojados en servidores privados. Entre sus capacidades destacan la generación automatizada de código malicioso, la explotación de vulnerabilidades y la ejecución de ataques mediante comandos de voz.
Su capacidad de operar en modo offline y de realizar búsquedas en tiempo real a través de más de 50 motores lo convierte en una herramienta extremadamente autónoma y peligrosa. - Bots con IA en plataformas de mensajería: la nueva cara del fraude masivo: En espacios tan accesibles como los canales de Telegram la IA alimenta bots que facilitan actividades ilícitas de gran escala: desde la venta de accesos ilegales y la clonación de tarjetas hasta la falsificación de documentos y la simulación de chats de soporte técnico para engañar a las víctimas.
Lo alarmante es la simplicidad con la que estos sofisticados ataques se ejecutan desde interfaces cotidianas y accesibles.
Un solo bot puede gestionar 36.000 transacciones por segundo, equivalente al trafico de grandes tiendas online en Black Friday.
La distribución del mercado: IA como producto de mercado
La distribución de venta de herramientas “maliciosas” en la Dark Web es cada vez más sofisticada, inspirándose en modelos del e-commerce tradicional.
- Foros underground, la universidad de la ciberdelincuencia: Según un informe de Kaspersky de 2023, se habían detectado más de 3.000 publicaciones donde los ciberdelincuentes discutían cómo modificar modelos de lenguaje (LLM) para fines maliciosos. Suelen compartir scripts de IA, ejemplos y guías paso a paso.
- Mercados por suscripción: En los Marketplace se observa que las herramientas como FraudGPT se alquilan por 170 euros al mes o 1.500 euros al año. Algunos kits "todo en uno" superan los 4.000 euros e incluyen soporte técnico y actualizaciones.
- Cuentas robadas: Se venden accesos premium a plataformas de IA como ChatGPT entre 8 a 500 euros, dependiendo de los límites de uso. Por ejemplo, los servicios automatizados generan hasta 1.000 cuentas falsas al día usando datos personales robados.
- Publicidad encubierta: Los Bots en plataformas como Telegram y Discord promocionan estas herramientas con mensajes de prueba, con la idea de facilitar el acceso a cualquier persona.
Intermediarios y especialistas: El crimen también se organiza
En el mercado underground no todo es caos, también hay estructura. Los llamados Initial Access Brokers (IAB) son intermediarios o grupos que se especializan en acceder a redes corporativas y luego venden ese acceso a grupos de ransomware. Incluso han mejorado la técnica utilizando IA para limpiar, validar y clasificar las bases de datos robadas, asegurando que la información que venden sea útil.
En el modelo de Ransomware as a Service (RaaS), los roles están claramente divididos y profesionalizados. Un acceso puede venderse por entre 400 y 10.000 euros, dependiendo del tamaño y valor del objetivo.
En paralelo, la compraventa de credenciales comprometidas ha generado un mercado extremadamente rentable en la Dark Web y continúa creciendo. Se comercializan millones de registros de usuarios, contraseñas y correos electrónicos útiles, disponibles para su compra. Por ejemplo, en España, solo en el primer trimestre de 2025 se detectaron 33 filtraciones en foros, afectando a sectores sensibles como el gubernamental, el transporte, la energía y la industria.
Mapeando el mercado oculto con OSINT
Desde un enfoque de monitorización y análisis, las técnicas OSINT son clave para explorar de forma estructurada el contenido de la Dark Web y maximizar los resultados que puedan ser de utilidad. La estrategia parte del rastreo de dominios [.]onion a través de buscadores especializados, y continúa con el escaneo automatizado en entornos seguros.
Entre los posibles objetivos, es importante detectar credenciales robadas, vulnerabilidades expuestas, filtraciones de datos o campañas fraudulentas activas. La recopilación sistemática de esta información permite no solo mapear incidentes en tiempo real, sino también anticipar movimientos de threat actors y detectar patrones de ataque.
En esta fase, la aplicación de la IA podría marcar una gran diferencia, ya que utilizando técnicas de procesamiento de lenguaje natural (PLN) es posible analizar grandes volúmenes de datos de canales de mensajería, entender el contexto de los mensajes y filtrar por menciones relevantes, incluso cuando la escritura está en diferentes idiomas o “jerga” especializada.
Con el cruce de datos, conseguimos correlacionar actores, entender su modus operandi y generar alertas tempranas.
Protegerse frente a la ciberdelincuencia digital
Es esencial adoptar un enfoque proactivo que combine tecnología, educación y gobernanza. Por ejemplo, es necesario implementar soluciones basadas en IA para detectar y responder a las amenazas en tiempo real, además de facilitar la monitorización continua de riesgos potenciales. Aquí, la ciberinteligencia puede añadir su granito de arena detectando los patrones de ataque y las actividades sospechosas en entornos digitales o en el mundo de la Dark Web.
En este escenario, la inversión en educación digital se vuelve imprescindible: ya no basta con saber identificar correos de phishing, sino que es necesario entrenar a los usuarios para reconocer fraudes sofisticados como deepfakes o audios clonados que simulan conversaciones humanas con sorprendente realismo.
■ Desconfía de las ofertas de “IA premium” en el mercadillo. ¡Lo que parece una ganga puede ser una trampa!
