La IA es la nueva arma de Rusia en su guerra contra Ucrania

Los hackers rusos han dado un salto importante en el uso de inteligencia artificial para atacar Ucrania. Ya no hablamos solo de mensajes de phishing más elaborados: ahora la IA programa directamente el malware. El Servicio Estatal de Ucrania ha contabilizado 3.018 incidentes cibernéticos en la primera mitad de 2025, frente a los 2.575 del semestre anterior. Un aumento notable.

Según podemos leer en The Hacker News, las autoridades ucranianas han encontrado muestras de malware creadas con IA. Los atacantes usan estas herramientas tanto para el phishing como para programar software malicioso completo. Y todo apunta a que no piensan parar, según advierten en su último informe del miércoles.

Cuando la IA se pone a programar código malicioso

La ciberguerra juega un papel importante en la invasión rusa de Ucrania

Uno de los casos más llamativos es el del grupo UAC-0219, que usó un malware llamado WRECKSTEEL contra organismos del gobierno e infraestructuras críticas. Este programa malicioso, hecho en PowerShell para robar datos, tiene todas las trazas de haber sido creado con IA. Lo han analizado bien y está claro: aquí hay inteligencia artificial de por medio.

Hay múltiples frentes abiertos. UAC-0218 ataca a las fuerzas de defensa con archivos comprimidos que esconden malware, mientras que UAC-0226 va a por empresas del sector de defensa para colarles programas que roban información. La IA permite crear mensajes de phishing impecables que engañan hasta a usuarios con experiencia, así que no sorprende verla aplicada también para programar malware.

Por su parte, UAC-0227 ha ido a por autoridades locales e infraestructuras críticas usando archivos de imagen trampa para colar programas que roban contraseñas y datos. UAC-0125, que está vinculado al conocido Sandworm, montó una web falsa que parecía de ESET (una empresa de antivirus) para meter un programa espía. Todo disfrazado como un antivirus legítimo. Difícil de detectar si no estás atento.

El grupo APT28 ha aprovechado fallos de seguridad en Roundcube y Zimbra, dos servicios de correo electrónico muy usados por empresas y gobiernos. Colaron código malicioso que robaba contraseñas, listas de contactos y configuraba el correo para reenviar todos los mensajes a cuentas controladas por ellos. Efectivo, todo hay que decirlo.

Otro truco que han usado es crear campos ocultos en páginas web que hacen que el navegador rellene automáticamente las contraseñas guardadas, que luego roban. Han aprovechado varios fallos de seguridad en Roundcube y Zimbra para conseguirlo. Agujeros que han explotado bien.

Rusia sigue con su guerra híbrida, coordinando ciberataques con los ataques físicos en el campo de batalla. El grupo Sandworm se ha centrado sobre todo en energía, defensa, proveedores de internet e investigación. Mientras hay ofensivas sobre el terreno, los ciberataques machacan las infraestructuras críticas para hacer más daño. Una coordinación que funciona, por desgracia.

Los atacantes han recurrido a servicios legítimos como Dropbox, Google Drive o Telegram para alojar malware y páginas falsas, además de usarlos para sacar los datos robados. Ya vimos cómo un troyano usa deepfakes de IA en Facebook para vaciar cuentas, así que el uso malicioso de IA va más allá de Ucrania. Es una tendencia global que preocupa.

Usar plataformas legítimas para cosas maliciosas no es nuevo, lo reconocen desde Ucrania. Lo malo es que cada vez usan más servicios diferentes. La mezcla de IA con infraestructura legítima de internet hace que detectar y parar estas amenazas sea cada vez más complicado para los equipos de ciberseguridad.