El hallazgo de Sophos, líder global en ciberseguridad, documenta uno de los ejemplos más claros hasta la fecha de cómo la inteligencia artificial dejó de ser una herramienta experimental para convertirse en parte activa del ciclo de desarrollo de ataques informáticos. Según Sophos, los actores identificados utilizaron agentes de IA para analizar investigaciones de seguridad, extraer técnicas de evasión, mapearlas con el marco MITRE ATT&CK, preparar entornos de prueba y evaluar automáticamente su efectividad contra soluciones de protección empresarial.
Los investigadores encontraron una infraestructura diseñada específicamente para poner a prueba herramientas maliciosas frente a tecnologías de detección y respuesta en endpoints (EDR) de Sophos, CrowdStrike y Microsoft Defender. El laboratorio estaba compuesto por varias máquinas virtuales y utilizaba agentes de IA con funciones diferenciadas, desde coordinación de tareas hasta documentación, despliegue de entornos y pruebas de evasión.
La operación empleaba Cursor, un entorno de desarrollo basado en inteligencia artificial, junto con agentes impulsados por Claude Opus 4.5 para automatizar buena parte del proceso de investigación y desarrollo. Los expertos identificaron cerca de 80 módulos capaces de probar más de 70 técnicas distintas orientadas a evitar la detección por parte de herramientas de seguridad.
Aunque la investigación concluye que la toma de decisiones seguía bajo control humano, la IA permitió acelerar tareas que tradicionalmente requerían semanas o meses de trabajo especializado. Los agentes analizaban artículos técnicos publicados por empresas de ciberseguridad, extraían métodos de ataque, preparaban laboratorios de prueba y generaban reportes con los resultados obtenidos.
Para Sophos, el descubrimiento representa un cambio relevante en la evolución de las amenazas digitales. El problema no radica únicamente en que los atacantes dispongan de nuevas herramientas, sino en que ahora pueden iterar mucho más rápido, automatizar pruebas complejas y reducir las barreras de entrada para desarrollar capacidades que antes estaban reservadas para grupos altamente especializados.
Los investigadores también vincularon esta actividad con operaciones relacionadas con ransomware y robo de información, lo que refuerza la preocupación sobre el uso práctico de la IA dentro de campañas criminales reales y no únicamente en entornos de experimentación.
