La IA generativa está industrializando el cibercrimen: 371% más menciones a herramientas de IA en foros del dark web, dark LLMs por 30$/mes y deepfakes por 5$/mes

Publicado el

Diagrama de infraestructura de cibercrimen con IA generativa mostrando dark LLMs deepfake services phishing kits biometrics y social engineering con aumento del 371% en menciones en foros dark web

La IA generativa ha entrado en el cibercrimen no como una novedad, sino como infraestructura básica. Según el informe Weaponized AI de Group-IB (enero 2026), las menciones a IA en foros del dark web crecieron un 371% entre 2019 y 2025, con un aumento del 1.199% en respuestas. La IA ha pasado de ser un tema experimental a un componente operativo del cibercrimen.

El mercado negro de herramientas con IA opera ya como un SaaS legítimo, con precios escalonados, suscripciones y soporte al cliente. Los kits de «identidad sintética» (actores de vídeo IA, voces clonadas, datasets biométricos) se venden desde 5$. Los kits de phishing potenciados con IA cuestan entre el precio de una suscripción de Netflix y 200$/mes. Los «dark LLMs» (modelos de lenguaje sin restricciones éticas, autoalojados, optimizados para fraude) cuestan entre 30$ y 200$/mes. Group-IB identificó al menos tres vendedores activos con más de 1.000 clientes.

Un ejemplo: Nytheon AI, un chatbot autoalojado de 80.000 millones de parámetros basado en DeepSeek-v3, Mistral y Llama, hospedado sobre TOR. Sus usos publicitados: malware, fraude, ingeniería social, reconocimiento de vulnerabilidades. Precio: suscripción mensual.

Group-IB registró 8.065 intentos de fraude con deepfakes en una sola institución entre enero y agosto de 2025, con pérdidas globales verificadas de 347 millones de dólares. Los atacantes recolectan muestras de tan solo 10 segundos de audio (de redes sociales, webinars o llamadas grabadas) para crear voces clonadas convincentes.

Mi valoración: el patrón es claro. La IA no inventa nuevos tipos de cibercrimen; hace que los existentes sean más baratos, más rápidos y accesibles a actores menos cualificados. Como dijo Craig Jones, ex-director de cibercrimen de Interpol: «Lo que antes requería operadores cualificados y tiempo, ahora se puede comprar, automatizar y escalar globalmente». El problema para los defensores es que cada nueva capa de automatización en el lado atacante requiere una respuesta automatizada del lado defensor, en una carrera donde el atacante solo necesita acertar una vez.

Preguntas frecuentes

¿Qué es un dark LLM? Un modelo de lenguaje sin restricciones éticas, frecuentemente autoalojado, optimizado para tareas como generación de malware, phishing y fraude. ¿Cuánto cuesta? Desde 30/mes (kits básicos) hasta 200$/mes (modelos avanzados como Nytheon AI). ¿Es ya un mercado consolidado? Sí. Group-IB reporta más de 1.000 clientes activos solo entre tres vendedores principales.