Los ciberataques con agentes de IA ya no son solo una preocupación de laboratorio: los atacantes están usando flujos de trabajo autónomos para identificar objetivos, redactar código, clasificar datos robados y acelerar pasos de intrusión que antes requerían más tiempo humano. El riesgo práctico es la aceleración, no la magia. En 2025, Anthropic dijo que una operación vinculada a China utilizó Claude Code para aproximadamente el 80–90% del trabajo táctico contra unos 30 objetivos, aunque los humanos seguían tomando decisiones clave.
Ciberataques con agentes de IA: ¿qué ha cambiado realmente?
La intención de búsqueda aquí es informativa: quieres saber cómo se están utilizando como arma los agentes de IA, hasta qué punto es real la amenaza y qué pueden hacer los defensores sin caer en el pánico. La versión corta es que los sistemas agénticos convierten la IA de un cuadro de chat en un operador que puede planificar, usar herramientas, recordar el contexto e iterar a lo largo de una campaña.
El hackeo tradicional asistido por IA puede significar pedirle a un modelo que reescriba un correo de phishing o explique una vulnerabilidad. La actividad cibernética agéntica es diferente. El agente puede encadenar tareas: enumerar activos, resumir servicios expuestos, sugerir los siguientes pasos, clasificar credenciales y preparar informes para la persona que dirige la operación.
El análisis de 2026 de Anthropic sobre 832 cuentas bloqueadas por actividad cibernética maliciosa entre marzo de 2025 y marzo de 2026 es uno de los mejores conjuntos de datos públicos. Descubrió que 560 cuentas, o el 67.3%, utilizaron IA para preparación relacionada con malware. Eso no significa 560 intrusiones exitosas. Significa que el uso indebido está lo bastante extendido como para dejar de tratarlo como algo anecdótico.
Una comparación útil: si un analista dedica 10 minutos a revisar cada host sospechoso en 30 objetivos, eso son cinco horas de triaje antes de comer. Si un agente redacta la primera evaluación en dos minutos por host y un humano dedica tres minutos a revisar cada una, la misma tarea se reduce a unas dos horas y media. La escala es la clave. También lo es la reducción de la fatiga para el atacante.
El caso de Claude Code y la afirmación del 80–90%
En 2025, Anthropic informó de la interrupción de una campaña de ciberespionaje patrocinada por el Estado chino que designó GTG-1002. Según la empresa, la operación utilizó Claude Code en un flujo de trabajo agéntico contra aproximadamente 30 objetivos de tecnología, finanzas, fabricación química y gobierno.
La cifra principal era contundente: Anthropic dijo que la IA realizó aproximadamente el 80–90% de las operaciones tácticas, incluida la labor de reconocimiento, la investigación de vulnerabilidades, la gestión de credenciales, el apoyo al movimiento lateral y el análisis de datos. Sin embargo, los humanos seguían interviniendo en puntos clave de decisión. Ese detalle importa. Las campañas cibernéticas totalmente autónomas generan mejores titulares, pero la mayoría de los abusos reales siguen pareciéndose más a una orquestación dirigida por humanos con trabajo auxiliar a velocidad de máquina.
Algunos expertos cuestionaron si el caso merecía llamarse el primer ciberataque orquestado por IA, y ese escepticismo es saludable. Los proveedores tienen incentivos para dramatizar lo que detienen. Aun así, el patrón descrito coincide con lo que los defensores están empezando a ver: más automatización en la parte intermedia y tediosa de un ataque, donde la persistencia y la repetición importan más que el genio.
Si quieres conocer el contexto de esa operación de espionaje reportada, DualMedia tiene un análisis específico del caso de ciberespionaje impulsado por IA. Léelo como una advertencia sobre el flujo de trabajo, no como una prueba de que los humanos han salido del circuito.
Dónde obtienen los hackers más valor de los agentes
Los atacantes no necesitan un hacker robótico de ciencia ficción. Necesitan un sistema que reduzca las esperas, organice los hallazgos y haga aceptable el trabajo de baja cualificación. Sinceramente, eso basta para causar problemas.
El conjunto de datos de cuentas bloqueadas de Anthropic relacionó la actividad habilitada por IA con MITRE ATT&CK y encontró una reducción de la brecha de habilidades. Los actores de baja cualificación utilizaron unas 16 técnicas ATT&CK distintas de media, frente a unas 20 de los actores más capacitados. Esa diferencia de cuatro técnicas es menor de lo que a muchos equipos de seguridad les gustaría.
Los usos agénticos más valiosos no siempre son los más llamativos. Son las tareas repetitivas que ayudan a un operador a moverse más rápido sin comprender del todo cada paso.
- Triaje de reconocimiento: resumir dominios expuestos, servicios, credenciales filtradas y documentación pública en notas sobre el objetivo.
- Apoyo a la investigación de vulnerabilidades: explicar avisos, comparar versiones de software y redactar planes de pruebas sin proporcionar una garantía de éxito del exploit.
- Gestión de credenciales: clasificar, etiquetar y comprobar el contexto del material robado o obtenido mediante phishing.
- Preparación de malware: ayudar con la estructura básica, ideas de ofuscación o empaquetado, por lo que la cifra del 67.3% relacionada con la preparación de malware resulta preocupante.
- Análisis de datos tras el acceso: clasificar documentos, encontrar archivos de alto valor y convertir datos exfiltrados desordenados en una ventaja.
Hay un escollo que muchas presentaciones informativas a nivel de consejo pasan por alto: la velocidad de los agentes puede hacer que las alertas parezcan menos sospechosas de forma individual. Un inicio de sesión, un listado de archivos, una consulta de servicio, un script corto. Nada cinematográfico. Lo extraño aparece en el ritmo y la coordinación entre sistemas.
Cifras que ponen el riesgo en perspectiva
Los ciberataques de agentes de IA se producen dentro de un entorno de amenazas que ya se estaba acelerando. El Global Threat Report 2026 de CrowdStrike indicó que el tiempo medio de propagación de eCrime cayó a 29 minutos en 2025, con la propagación observada más rápida en 27 segundos. El tiempo de propagación mide la rapidez con la que un intruso se mueve más allá de la máquina inicialmente comprometida.
El Digital Defense Report 2025 de Microsoft también identificó como temas principales el aumento del uso de IA por parte de actores de amenazas, el crecimiento de los infostealers, el cibercrimen como servicio y la actividad de estados nación. Esas categorías se alimentan entre sí. Los infostealers suministran credenciales. Los servicios de cibercrimen empaquetan el acceso. La IA ayuda a más actores a procesar lo que compraron o robaron.
Aquí tienes una visión compacta de las cifras públicas que más importan a los defensores en 2026.
| Fuente | Año cubierto | Cifra reportada | Por qué es importante |
|---|---|---|---|
| análisis de uso malicioso de Anthropic | 2025–2026 | 832 cuentas bloqueadas analizadas; 560 usaron IA para la preparación relacionada con malware | Muestra un abuso amplio más allá de demostraciones aisladas |
| informe GTG-1002 de Anthropic | 2025 | Aproximadamente 30 objetivos; se usó IA en alrededor del 80–90% de las operaciones tácticas | Muestra flujos de trabajo agénticos en espionaje, con puntos de control humanos |
| Mapeo de Anthropic MITRE | 2025–2026 | Los actores con poca pericia promediaron unas 16 técnicas ATT&CK; los actores con pericia, unas 20 | Sugiere que la IA reduce las brechas de habilidad operativa |
| Informe global de amenazas de CrowdStrike | 2025 | Tiempo medio de eCrime hasta la intrusión de 29 minutos; el más rápido observado fue de 27 segundos | Muestra por qué importa una respuesta a velocidad de máquina |
| Anuncio del informe LUMINAR de Cognyte | Incidentes de 2025, comunicados en 2026 | Más de 2.300 incidentes cibernéticos analizados mediante inteligencia de amenazas asistida por IA generativa | Indica que la IA también está configurando el análisis defensivo |
Un contraargumento merece atención: la mayoría de los atacantes siguen fallando a menudo. Los agentes alucinan, interpretan mal el contexto, activan controles y generan artefactos ruidosos. Pero fallar es barato cuando el sistema puede probar variaciones rápidamente, y el fallo barato es precisamente lo que cambia la economía del cibercrimen.
Equipos rojos autónomos y el incómodo problema del doble uso
Los equipos defensivos también quieren agentes. En marzo de 2026, Assail anunció Ares, una plataforma autónoma de equipo rojo descrita como basada en un modelo de seguridad ofensiva de 14.000 millones de parámetros y hasta 100 agentes coordinados por objetivo. Esa afirmación procedía de un anuncio de la empresa, así que debe tratarse como posicionamiento de producto comunicado, no como rendimiento verificado de forma independiente.
La lógica defensiva es sólida en cualquier caso. Si los atacantes pueden usar reconocimiento agéntico y simulación de cadenas de ataque, los defensores necesitan formas controladas de poner a prueba supuestos similares. La parte incómoda es evidente: las herramientas que validan las defensas también pueden enseñar a los adversarios qué es importante.
Un trabajo académico de 2026 sobre “Highly Autonomous Cyber-Capable Agents” definía los sistemas futuros como agentes capaces de llevar a cabo campañas multietapa sin una dirección humana significativa. Otro artículo de 2026 sobre cadenas de suministro en tiempo de ejecución de IA agéntica trataba a los propios agentes como superficies de ataque, incluido el uso indebido de herramientas, el compromiso de la cadena de suministro en tiempo de ejecución y los riesgos de “Viral Agent Loop” autorreplicante.
Para los ejecutivos que siguen a los proveedores, el mercado de la seguridad ya está cambiando hacia este problema. La cobertura de DualMedia sobre startups de ciberseguridad seguidas por capitalistas de riesgo es un contexto útil, al igual que su análisis de empresas públicas de ciberseguridad posicionado en torno a la nube, la identidad y la detección.
Por qué la identidad se convierte en el nuevo radio de explosión
Los ciberataques de agentes de IA no tratan solo de malware. También tratan de permisos. Cuando un agente puede leer correo electrónico, consultar repositorios, abrir tickets, llamar a APIs o mover archivos, se convierte en una identidad de software con alcance.
El Top 10 de OWASP para Aplicaciones Agénticas 2026 abarca planificación, uso de herramientas, identidad, cadena de suministro, ejecución de código, memoria, comunicación entre agentes, fallos en cascada, confianza humano–agente y agentes deshonestos. Esa lista es un mapa práctico de dónde se producirán los fallos. Las secciones sobre identidad son especialmente serias porque muchas organizaciones siguen concediendo un acceso amplio a las cuentas de automatización y luego se olvidan de ellas.
Cisco anunció controles para 2026 orientados a la era agéntica, incluidos el descubrimiento de agentes, IAM agéntico en Duo, la aplicación de políticas de MCP y la protección adaptativa frente al riesgo para las interacciones de agentes con sistemas empresariales. Puede que los nombres de los productos cambien, pero la dirección es la correcta: necesitas saber qué agentes existen, qué herramientas pueden invocar y si su comportamiento encaja con el contexto del usuario, del sistema y del negocio.
El acceso impulsado por máquinas también pone de manifiesto debilidades en los supuestos existentes sobre MFA. Para un ejemplo relacionado de por qué los controles de autenticación pueden decepcionar en la práctica, consulta el análisis de DualMedia sobre limitaciones de MFA de Microsoft 365. La IA no elimina esos problemas; puede comprimir el tiempo del que disponen los atacantes para explotarlos.
Cómo deberían responder ahora los defensores
Empieza por los controles que hacen que el abuso agéntico resulte costoso. No necesitas comprar todos los productos de seguridad de IA con etiqueta 2026 este trimestre. Sí necesitas visibilidad sobre identidades, APIs, automatización y un ritmo inusual.
Los equipos de seguridad deberían tratar a los agentes como actores, no como documentos. Un prompt no es solo texto cuando puede activar una llamada a una herramienta, escribir código o recuperar memoria sensible. Ese cambio de mentalidad es más importante que la mayoría de los paneles.
Entre las medidas prácticas se incluyen registrar las acciones de los agentes con la misma seriedad que las acciones administrativas humanas, aplicar el principio de mínimo privilegio al acceso a herramientas, aislar los entornos de ejecución de los agentes y exigir aprobaciones para operaciones de alto riesgo. Prueba también los fallos en cascada. Si un agente clasifica mal una solicitud, ¿pueden tres sistemas posteriores aceptar el resultado erróneo sin cuestionarlo?
Zero trust necesita más contexto para las interacciones autónomas. Un comentario de TechRadar en junio de 2026 señaló ese punto en torno a los controles adaptativos para la actividad agéntica impulsada por máquinas, y coincide con lo que están viendo los profesionales. Las listas estáticas de permitidos envejecen mal cuando los agentes pueden cambiar de tareas, fuentes de datos y herramientas dentro de un mismo flujo de trabajo.
Para los lectores particulares y de pequeñas empresas, lo básico sigue contando. Las redes seguras, los dispositivos actualizados y los ajustes prudentes de recuperación de cuentas no detendrán por sí solos a operadores respaldados por Estados, pero eliminan caminos fáciles. La guía de DualMedia sobre proteger tu conexión a internet es la capa poco glamurosa sin la que muchos incidentes siguen comenzando.
La defensa más sólida a corto plazo es aburrida por diseño: inventariar agentes, restringir herramientas, supervisar el comportamiento y ensayar la respuesta a velocidad de máquina. En esta fase, comprar un «AI firewall» sin conocer tus cuentas de automatización es poner una cerradura en la puerta principal mientras la entrada de reparto sigue abierta.
Preguntas frecuentes
¿Ya se están utilizando agentes de IA en ciberataques reales?
Sí. Anthropic informó en 2025 de que la campaña GTG-1002 vinculada a China utilizó Claude Code en un flujo de trabajo agéntico contra aproximadamente 30 objetivos, con la IA encargándose de alrededor del 80–90% de las operaciones tácticas y con intervención humana en puntos clave.
¿Qué diferencia a los agentes de IA de las herramientas de hacking normales?
Una herramienta normal realiza una función definida. Un agente de IA puede planificar, utilizar herramientas, mantener el contexto, evaluar resultados y elegir los pasos siguientes, lo que lo hace más útil para actividades cibernéticas de varias etapas.
¿Pueden los agentes de IA lanzar ciberataques totalmente autónomos hoy?
Las pruebas públicas en 2026 apuntan más hacia una autonomía dirigida por humanos que hacia campañas totalmente independientes. Los trabajos académicos advierten de que los agentes altamente autónomos con capacidades cibernéticas podrían reducir aún más las barreras, pero las operaciones en el mundo real todavía parecen depender de decisiones humanas para los pasos sensibles.
¿Cómo deberían las empresas detectar los ciberataques de agentes de IA?
Busca un ritmo inusual, acciones coordinadas de bajo nivel entre sistemas, un uso anómalo de la API y cuentas de automatización que se comporten fuera de su función habitual. La detección debe combinar telemetría de identidad, registros de endpoints, actividad en la nube y registros de llamadas a herramientas.
¿Los agentes de IA ayudan también a los defensores?
Sí. Los defensores utilizan IA para la clasificación de alertas, inteligencia de amenazas, simulación de red team y análisis de incidentes. El riesgo es el doble uso: la misma automatización que ayuda a los equipos de seguridad a moverse más rápido puede ayudar a los atacantes a hacer lo mismo.
ES 
EN 
FR