Alerta: la IA como servicio ya impulsa el cibercrimen por suscripción, según Group-IB
El cibercrimen ha entrado en una nueva fase industrial: la IA como servicio para cibercrimen por suscripción. Según un whitepaper reciente de la firma de inteligencia de amenazas Group-IB, los actores maliciosos están dejando atrás el uso “experimental” de modelos y pasando a consumir infraestructura lista para usar —Dark LLMs, deepfakes y kits de identidad sintética— con precios y empaquetado comparables a un SaaS clandestino.
La tesis central del informe es que la IA ya no es un “extra” para criminales avanzados, sino un componente de base que reduce la barrera de entrada: tareas que antes exigían tiempo, especialización y coordinación pueden automatizarse en workflows y venderse como suscripciones a través de canales accesibles, incluidos marketplaces y mensajería.
IA como servicio para cibercrimen por suscripción: señales del mercado
Group-IB asegura que la conversación sobre IA en foros underground se ha disparado: menciones de IA en estos espacios habrían crecido un 371% desde 2019, mientras que la actividad asociada (respuestas) aumentó casi doce veces. Solo en 2025, el informe sitúa la escala en más de 23.000 nuevos posts y cerca de 300.000 respuestas relacionadas con IA, lo que sugiere una adopción sostenida y un mercado en expansión.
El patrón es el clásico de la “productización” criminal: empaquetado de capacidades, soporte “comercial” en la sombra y precios recurrentes. En términos defensivos, esto implica más volumen, mayor cadencia de campañas y una mejora en la personalización de los engaños gracias a modelos de Language Generation.
Dark LLMs: modelos diseñados para estafas y malware
Uno de los focos más críticos del documento es la proliferación de los llamados Dark LLMs: language models autoalojados, orientados explícitamente a fraude, ingeniería social y desarrollo/soporte de malware. A diferencia de los chatbots generalistas “jailbreakeados”, Group-IB sostiene que estos modelos se distribuyen para operar fuera del radar, incluso detrás de Tor, y con ausencia deliberada de guardrails.
En cuanto al modelo de negocio, el informe afirma que varios vendedores ya comercializan acceso por tarifas bajas —desde 30 dólares al mes— y que, combinados, superarían el umbral de 1.000 usuarios. Ese dato refuerza la idea de la IA como servicio para cibercrimen por suscripción como un producto con tracción real, no como una curiosidad.
Deepfakes e identidades sintéticas: el kit completo para suplantación
En paralelo, Group-IB describe un crecimiento acelerado del mercado de deepfakes y herramientas de impersonation. El informe menciona “kits de identidad sintética” (caras y voces generadas por IA) que pueden adquirirse por alrededor de 5 dólares. Según la firma, las ventas se dispararon en 2024 y siguieron aumentando en 2025, señalando un mercado cada vez más líquido para suplantación de identidad, fraude bancario y compromiso de procesos de verificación remota.
La consecuencia inmediata es operacional: cuando texto, voz y vídeo se generan bajo demanda y con herramientas estándar, disminuye el valor de los indicadores tradicionales basados en “calidad” (acentos, errores lingüísticos, artefactos visuales obvios) y aumenta la presión sobre controles de autenticación fuerte, verificación fuera de banda y detección basada en comportamiento.
Pérdidas verificadas y campañas a escala
Group-IB vincula esta ola de automatización con pérdidas económicas tangibles. En su recuento, el fraude con deepfakes habría provocado 347 millones de dólares en pérdidas verificadas en un solo trimestre, con casos que abarcan desde ejecutivos clonados hasta videollamadas falsas. También cita un caso en el que una entidad bancaria detectó más de 8.000 intentos de fraude impulsados por deepfakes durante ocho meses.
El informe añade que call centers de estafa estarían utilizando voces sintéticas para el primer contacto, mientras los operadores humanos reciben “coaching” en tiempo real por parte de modelos de lenguaje para sostener la manipulación, ajustar el guion y aumentar la conversión. En paralelo, desarrolladores de malware estarían probando asistencia con IA para reconnaissance y persistence, con señales tempranas de ataques más autónomos a futuro.
Por qué esto cambia la defensa
El salto cualitativo no es solo la automatización, sino la estandarización: la IA como servicio para cibercrimen por suscripción convierte capacidades antes artesanales en componentes intercambiables. En la práctica, esto complica el análisis de atribución y reduce la eficacia de defensas estáticas cuando el contenido (texto, audio y vídeo) puede regenerarse continuamente para evadir filtros y controles.
Para contexto y definiciones sobre riesgos de deepfakes y generación sintética, pueden consultarse referencias de alta autoridad como NIST y guías de ciberseguridad institucionales como CISA, que vienen alertando del impacto de la ingeniería social avanzada y la suplantación en procesos críticos.
Qué deja claro Group-IB
En palabras atribuidas en el documento a Anton Ushakov, responsable de la Cybercrime Investigations Unit de Group-IB, la IA estaría dando a los criminales “alcance sin precedentes”, permitiendo escalar estafas con hiperpersonalización y anticipando un futuro donde la IA autónoma ejecute ataques que antes requerían expertos humanos.
La conclusión operativa es directa: el cibercrimen no ha inventado técnicas completamente nuevas; ha automatizado y empaquetado las existentes, vendiéndolas globalmente. Y ese giro hacia la IA como servicio para cibercrimen por suscripción apunta a un 2026 con más campañas, más sofisticación en la suplantación y una economía criminal cada vez más “plug-and-play”.
