Durante la primera mitad de 2025, los ciberataques rusos contra Ucrania alcanzaron un nuevo nivel con el aumento de inteligencia artificial (IA) en sus operaciones, según un informe del Servicio Estatal de Comunicaciones Especiales y Protección de la Información (SSSCIP). La agencia advirtió que los piratas informáticos ya no utilizan la IA solo para generar mensajes de phishing, sino también para crear código malicioso. En este período se registraron 3.018 incidentes cibernéticos, un aumento respecto a los 2.575 del segundo semestre de 2024, con un crecimiento en los ataques contra autoridades locales y entidades militares.

Entre los episodios más destacados figura el uso del malware WRECKSTEEL por parte del grupo UAC-0219, en ataques dirigidos contra organismos estatales e infraestructuras críticas. Este software, desarrollado en PowerShell, presenta signos de haber sido creado con herramientas de IA. También se detectaron campañas de phishing de distintos grupos rusos —entre ellos UAC-0218, UAC-0226, UAC-0227 y UAC-0125, este último vinculado a Sandworm— que utilizaron archivos manipulados, sitios falsos y adjuntos maliciosos para distribuir software diseñado para robar información.

El SSSCIP informó además sobre la actividad del grupo APT28 (UAC-0001), que explotó vulnerabilidades en los servicios de correo web Roundcube y Zimbra para ejecutar ataques zero-click. Los atacantes inyectaban código malicioso para acceder a credenciales y listas de contactos o instalaban bloques HTML ocultos que permitían robar contraseñas almacenadas en los navegadores, sin necesidad de interacción del usuario. Según la agencia, estas tácticas reflejan un uso cada vez más sofisticado de las brechas de seguridad y de la automatización en los ataques.

Por otra parte, el informe destaca que Rusia continúa combinando operaciones cibernéticas con acciones militares en el terreno, una estrategia de "guerra híbrida" en la que el grupo Sandworm (UAC-0002) juega un papel central, apuntando a sectores como energía, defensa e investigación. Además, varios grupos han comenzado a usar servicios legítimos —como Dropbox, Google Drive, Telegram o Cloudflare Workers— para alojar malware, páginas de phishing o para exfiltrar datos. Aunque no es una táctica nueva, el SSSCIP advierte que ha aumentado de forma sostenida.

OpenAI detecta uso de ChatGPT por parte de hackers

OpenAI informó haber interrumpido las actividades de grupos de hackers vinculados a Rusia, Corea del Norte y China que intentaban usar ChatGPT para desarrollar malware, campañas de phishing y sistemas de espionaje. Según la empresa, los actores utilizaron la IA para crear y probar fragmentos de código, redactar correos fraudulentos y automatizar tareas de intrusión, a pesar de las supuestas restricciones del modelo para generar contenido malicioso.

Además, OpenAI bloqueó cuentas implicadas en estafas y operaciones originadas en Camboya, Nigeria y China, que buscaban manipular la opinión pública o difundir propaganda política. Algunos incluso modificaron sus textos para eliminar signos que delataran el uso de IA. Los hallazgos, difundidos junto al lanzamiento de una nueva herramienta de auditoría de Anthropic, reavivan el debate sobre los límites y responsabilidades en el uso de la inteligencia artificial.

Europa denuncia "guerra híbrida" y reclutamiento de jóvenes

La presidenta de la Comisión Europea, Ursula von der Leyen, advirtió recientemente que Rusia mantiene una campaña activa de ciberataques y sabotajes en todo el continente, a la que definió como una “guerra híbrida” que debe tomarse “muy en serio”. En su discurso ante el Parlamento Europeo, señaló un “patrón preocupante de amenazas crecientes” que incluye el espacio aéreo, drones sobre infraestructuras críticas y ciberataques coordinados, además de campañas destinadas a desestabilizar.

Von der Leyen recordó incidentes como cables submarinos cortados, aeropuertos y centros logísticos paralizados por ataques informáticos y procesos electorales afectados por campañas (aunque no los atribuyó explícitamente a Rusia). Afirmó que no se trata de hechos aislados, sino de “una campaña coherente y creciente para inquietar a nuestros ciudadanos, poner a prueba nuestra determinación, dividir nuestra Unión y debilitar nuestro apoyo a Ucrania”. También llamó a Europa a reforzar su capacidad estratégica de respuesta y adoptar una “mentalidad completamente nueva” frente a estas amenazas.

En paralelo, las autoridades neerlandesas detuvieron a dos adolescentes de 17 años acusados de captar señales Wi-Fi para piratas informáticos prorrusos, un caso que, según el primer ministro Dick Schoof, encaja en el “manual híbrido” de Rusia. Los jóvenes fueron reclutados a través de Telegram para realizar tareas de reconocimiento cerca de instituciones como Europol, Eurojust y la embajada de Canadá, lo que ha despertado preocupación entre los expertos en seguridad sobre el uso de jóvenes en operaciones digitales.

Especialistas citados por Information Security Media Group advirtieron que plataformas como Telegram, Signal, WhatsApp e incluso comunidades de videojuegos como Discord están siendo utilizadas para captar jóvenes con fines de espionaje o recolección de datos. Según la analista Sarah Ralston, los atacantes buscan convertir los dispositivos personales de los jóvenes en herramientas de vigilancia “a menudo sin su conocimiento o intención”.