La inteligencia artificial (IA) está democratizando los ciberataques, haciendo que herramientas sofisticadas, antes exclusivas de expertos, sean accesibles para principiantes. Este fenómeno, conocido como “vibe hacking”, ha sido identificado como una “evolución preocupante de la cibercriminalidad asistida por la IA“, según un reciente informe de la empresa estadounidense Anthropic.

Ciberdelincuencia Asistida por IA: ¿Un Nuevo Modelo de Amenaza?

Anthropic, una de las principales competidoras de OpenAI (creadora de ChatGPT), reveló un caso alarmante en el que un ciberdelincuente utilizó su robot conversacional Claude Code para orquestar una operación de extorsión de datos a gran escala. En un solo mes, esta persona logró automatizar la recolección de datos sensibles y contraseñas, afectando a al menos 17 organizaciones a nivel global, incluyendo instituciones gubernamentales, de salud y religiosas.

El atacante utilizó la información robada para solicitar rescates de hasta 500.000 dólares. A pesar de las sofisticadas medidas de seguridad implementadas por Anthropic, la manipulación del modelo de IA demostró ser posible, eludiendo las protecciones diseñadas para evitar este tipo de usos maliciosos.

La preocupación es compartida por expertos del sector. Rodrigue Le Bayon, del centro de alerta de Orange Cyberdefense, señala que los ciberdelincuentes han adoptado rápidamente la IA como una herramienta clave, al igual que el resto de los usuarios.

LEA MÁS: Ataques cibernéticos aumentaron contra empresas e instituciones en Costa Rica durante esta semana

Las herramientas de IA generativa como ChatGPT y Gemini incluyen medidas de seguridad para impedir su uso en actividades criminales. Sin embargo, los investigadores han descubierto técnicas que permiten esquivar estos límites. (Shutterstock)

Eludiendo los Controles de Seguridad de la IA Generativa

Las herramientas de IA generativa como ChatGPT y Gemini incluyen medidas de seguridad para impedir su uso en actividades criminales. Sin embargo, los investigadores han descubierto técnicas que permiten esquivar estos límites.

Vitaly Simonovich, investigador de la firma israelí de ciberseguridad Cato Networks, describió una técnica llamada “mundo inmersivo”. Consiste en engañar al chatbot describiéndole un universo ficticio donde la creación de malware es una forma de arte, y luego pedirle que actúe como un “artista” en esa realidad. Simonovich logró generar código malicioso con este método utilizando modelos como ChatGPT, Deepseek y Copilot. Según el experto, este tipo de amenazas, procedentes de actores poco experimentados, “representarán un peligro creciente para las organizaciones”.

El vibe hacking es una nueva forma de ciberdelincuencia donde personas sin experiencia en codificación utilizan herramientas de inteligencia artificial para generar código malicioso o programas de extorsión. (Shutterstock/Shutterstock)

¿Cuál es el impacto para Costa Rica?

Aunque el informe se centra en casos internacionales, la tendencia de la ciberdelincuencia asistida por IA representa una amenaza inminente para las empresas, instituciones y el consumidor costarricense. Dado que los ciberataques ahora son más fáciles de ejecutar y más accesibles, las pequeñas y medianas empresas (PYMES) en el país, que a menudo carecen de departamentos de ciberseguridad robustos, se convierten en blancos vulnerables. El aumento de ataques de phishing y extorsión de datos podría poner en riesgo información de clientes, operaciones financieras y datos estratégicos, lo que subraya la necesidad de que las organizaciones refuercen sus protocolos de seguridad digital.

LEA MÁS: A tres años del hackeo al Ministerio de Hacienda: ¿cómo están las instituciones públicas de Costa Rica en ciberseguridad?

Preguntas Frecuentes

¿Qué es el “vibe hacking”? Es una nueva forma de ciberdelincuencia donde personas sin experiencia en codificación utilizan herramientas de inteligencia artificial para generar código malicioso o programas de extorsión.

¿Qué precauciones deben tomar las empresas en Costa Rica ante esta amenaza? Las empresas deben invertir en capacitación para sus empleados, reforzar sus sistemas de detección de intrusiones, realizar copias de seguridad de datos de manera regular y considerar servicios de ciberseguridad especializados para proteger sus activos digitales.

---

Este artículo fue publicado por un editor de El Financiero asistido por un sistema de inteligencia artificial.