Qué significan los datos de la IA de atacantes de Anthropic para la detección
Leer el blog
Vectra AI, nombrada una de las empresas líderes en el Cuadrante Mágico de Gartner sobre NDR de 2026
Leer el informe
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Blogs
    >
  2. Seguridad AI

Qué significan los datos de la IA de atacantes de Anthropic para la detección

June 18, 2026
6/18/2026
Lucie Cardiet
Responsable de investigación de ciberamenazas
Qué significan los datos de la IA de atacantes de Anthropic para la detección

Artículo escrito conjuntamente por ZackAbzug, Fabien Guillot y Alex Groyz.

---

El 3 de junio de 2026, Anthropic publicó el «LLM ATT&CK Navigator», un informe que recoge un año de actividad real de atacantes a partir de 832 cuentas que la empresa había bloqueado por uso malicioso, y que se ha correlacionado con MITRE ATT&CK. Se trata del informe público más claro hasta la fecha sobre lo que los atacantes realmente piden a un modelo de IA que haga. Lo hemos leído detenidamente, hemos comparado notas y han destacado dos aspectos que son importantes para la detección.

  • En primer lugar, el uso de la IA por parte de los atacantes sigue concentrándose donde no puedes verlo: en los propios equipos de los atacantes, donde crean el malware las herramientas que les permiten burlar tus defensas.
  • En segundo lugar, cuando se utiliza la IA para respaldar comportamientos posteriores a una intrusión, se trata de los mismos comportamientos que llevan a cabo los atacantes habituales, y los mismos que los sistemas de detección de red e identidad están diseñados para detectar.

En el resto de esta entrada se analizan tres conclusiones que se desprenden de los datos, así como el rendimiento de los sistemas de detección una vez que un ataque llega a tu entorno.

Conclusión n.º 1: La IA se utiliza principalmente para acceder a los sistemas, y está dando buenos resultados

El uso más habitual de la IA en el conjunto de datos fue el desarrollo de capacidades, principalmente la creación malware: el 69 % de los actores estudiados. Le seguían de cerca la ofuscación de código (64,7 %), la extracción de datos de los propios sistemas del atacante (55,9 %) y el debilitamiento de las defensas (54,9 %). La evasión de las defensas fue la táctica más extendida en general, presente en el 84,4 % de los actores.

Si unimos todo esto, se forma una imagen clara. La mayor parte del uso que se hace hoy en día de la IA por parte de los atacantes tiene un único objetivo: crear malware supere las defensas de los puntos finales y se introduzca en un entorno. Se trata de una fase de preparación, y tiene lugar en una infraestructura que no es de tu propiedad. No atraviesa tu red, no afecta a tu proveedor de identidad ni aparece en tus registros. No puedes detectar un modelo que escriba una carga útil en una máquina que no controlas, y tampoco es necesario que lo hagas.

Pero hay una consecuencia que sí debes tener en cuenta. Si la IA hace que los atacantes sean más eficaces y rápidos a la hora de crear soluciones que superen al EDR, habrá más que consigan colarse. La postura más realista es dar por hecho que se producirá una intrusión. La cuestión deja de ser si algo logrará colarse y pasa a ser qué podrás detectar una vez que lo haga. Ese es el caso de una capa de detección que funciona dentro del entorno, tras el acceso inicial, basándose en el comportamiento en lugar de en firmas.

Conclusión n.º 2: La IA se está adentrando cada vez más en la cadena de ataque

Los primeros datos son una instantánea, no un punto de llegada. Al comparar el primer semestre con el segundo, el informe muestra que los atacantes recurren a la IA en una fase más avanzada de la operación, en las tareas prácticas que llevan a cabo una vez que han conseguido acceder al sistema. Tanto la detección de cuentas como la exfiltración automatizada aumentaron en el segundo semestre.

Esta es la parte que realmente importa para un SOC, ya que las técnicas poco comunes son las más peligrosas. El uso de la IA para el movimiento lateral fue el indicador más claro de un actor de alto riesgo: los 54 actores que lo hicieron presentaban una puntuación de riesgo media de 56,4, casi diez puntos por encima de la media de 46,8. A nivel de técnicas, los actores de mayor riesgo recurrían a servicios remotos como SSH y SMB, cuentas válidas, el «dumping» de credenciales y la preparación de datos para la exfiltración. Cada una de estas técnicas era entre tres y cinco veces más frecuente entre ellos que en el resto.

Un caso lo ilustra claramente. Anthropic describe a GTG-1002, el operador responsable de una campaña de espionaje dirigida por IA que desarticuló en noviembre de 2025 y que afectó a objetivos gubernamentales y de infraestructuras críticas. Su repertorio de técnicas no tenía nada de especial. Lo que lo distinguía era la coordinación: el operador ejecutaba Claude Code en una máquina con Kali Linux, conectaba herramientas de pruebas de penetración como servidores MCP y dejaba que el modelo escaneara, aprovechara una vulnerabilidad para acceder a la red interna, recopilara credenciales y se moviera lateralmente, mientras que un humano solo marcaba la dirección. El reconocimiento y el camino hacia el punto de acceso estuvieron impulsados por la IA desde el principio.

Reconocimiento de Active Directory, detección de cuentas, movimiento lateral, exfiltración: este es el ámbito en el que se especializa la detección de red. A medida que más actores incorporan la inteligencia artificial en estas últimas fases —y la tendencia apunta en esa dirección—, la detección de red e identidad cobra cada vez más relevancia, y no al contrario.

El hilo conductor: la identidad

Hay un tema común que une ambas partes, y es la identidad. Los flujos de trabajo Cloud de IA pasan por los usuarios, los sujetos de servicio y las identidades gestionadas. Los datos de Anthropic muestran que las cuentas válidas son una de las técnicas más asociadas a los actores de alto riesgo, y un agente que actúe dentro de tu entorno sigue teniendo que autenticarse, acceder a los servicios y moverse como si fuera una cuenta.

Esto es importante porque no depende de la superficie de ningún producto en concreto. Tanto si el atacante es una persona como si se trata de un agente, tanto si la carga de trabajo es una cloud como un servicio de IA, el indicio revelador es el mismo: una identidad utilizada desde un lugar incorrecto, que accede a algo con lo que no tiene antecedentes y que se comporta de forma anómala. La detección de identidades y comportamientos sospechosos es el punto en el que converge toda esta historia.

Dónde llega la cobertura

Dado que Anthropic ha asignado sus hallazgos a los identificadores de técnicas de MITRE y que Vectra etiqueta cada detección con los mismos identificadores, ambos sistemas coinciden. En cuanto a las técnicas posteriores a la intrusión que identifican a los actores peligrosos, la cobertura es sólida. Las primeras fases, en las que la IA desempeña un papel fundamental, no son visibles para ti, pero en el momento en que una operación basada en IA comienza a actuar dentro de tu red, genera un comportamiento que Vectra está diseñado para detectar.

Técnica de alto riesgo Identificador ATT&CK Cómo se ve en tu entorno Dónde aparece
Servicios remotos (SSH/SMB) T1021 Una cuenta utiliza protocolos de administración para acceder a sistemas con los que no tiene ningún historial previo Ejecución remota sospechosa, Escritorio remoto sospechoso, Administrador sospechoso
Cuentas válidas T1078 Se utiliza una cuenta real desde un servidor, una ubicación o un servicio inusuales. Anomalía de privilegios (host inusual, cuenta inusual en el host, servicio inusual, trío inusual), inicio de sesión sospechoso en Azure AD, acceso en Azure AD que se sospecha que ha sido comprometido
Descarga de credenciales del sistema operativo T1003 El material de las credenciales se extrae de los hosts Detección de anomalías en los privilegios
Archivo de datos recopilados T1560 Los datos se preparan y se comprimen antes de salir Contrabandista de datos, robo con fuerza
Explotación de servicios remotos T1210 Un host interno envía un exploit a otro y descarga una fase posterior Replicación automatizada, Stage Loader
Identificación de cuentas T1087 Recuento rápido de cuentas a través de Kerberos, SMB, LDAP o RPC Análisis de cuentas Kerberos, análisis de cuentas SMB, consulta LDAP sospechosa, reconocimiento RPC
Exfiltración automatizada T1020 Transferencia saliente de gran volumen o programada a un destino no fiable «Smash and Grab», «Data Smuggler»

Hay una técnica que requiere una nota al pie. La implementación de un shell web (T1505.003) no cuenta con una detección específica en Vectra: la instalación suele realizarse en el terminal, aunque el canal de comando y control que crea aparece en «Túnel HTTPS oculto» o «Acceso remoto externo». Los ataques de replicación de dominios DCSync y DCShadow aparecen en «Operaciones sospechosas de Active Directory», que Vectra asocia con T1207 y la táctica de «Acceso a credenciales».

GTG-1002 encaja en este patrón. Los servicios remotos SSH, la explotación de servicios remotos, la recopilación de credenciales y la técnica «archive-and-stage» son comportamientos que estas detecciones están diseñadas para detectar, independientemente de si el operador es una persona o un modelo que actúa a través de un servidor MCP.

Técnicas de los atacantes basadas en la inteligencia artificial y en qué momentos se pueden detectar

Cómo se traduce un año de uso de la IA de los atacantes en el comportamiento dentro de una red.

Se ha detectado como comportamiento dentro de la red Cobertura parcial o adyacente Por parte del atacante, no observable en su entorno
Se han detectado 7 técnicas de comportamiento dentro de la red
T1021
Servicios remotos (SSH/SMB):alto riesgo
Movimiento lateral · el marcador de alto riesgo más significativo
T1078
Cuentas válidasde alto riesgo
Acceda a
T1003
Extracción de credenciales del sistema operativo: alto riesgo
Acceso con credenciales
T1560
Archivode datos recopilados: altoriesgo
Colección
T1210
Explotación de servicios remotos
Movimiento lateral
T1087
Descubrimiento de cuentas: en auge
Discovery · al alza en la segunda mitad del año
T1020
Aumento de la exfiltración automatizada
Exfiltración · al alza en la segunda mitad del año
Técnicas de cobertura parcial o adyacente 2
T1505.003
WebShell: alto riesgo
Persistencia
No hay detección específica; el canal de mando y control que crea sigue siendo visible en la red.
T1207
Control de dominios independientes (DCSync / DCShadow)
Acceso con credenciales
Cobertura de acceso mediante credenciales adyacentes.
5 técnicas que hacen un uso intensivo de la IA, pero que se aplican desde el lado del atacante y no son observables en tu entorno
T1587
Desarrollar capacidades
Desarrollo de recursos · 69 % de los actores
Incluye malware (T1587.001). Se lleva a cabo en el propio equipo del atacante.
T1027
Archivos o información cifrados
Evasión de la defensa · 64,7 %
Terminal / lado del atacante.
T1005
Datos del sistema local
Recaudación · 55,9 %
Terminal / lado del atacante.
T1562
Deteriorar las defensas
Evasión de la defensa · 54,9 %
Se trata, en gran medida, del ámbito de los dispositivos finales y la EDR.
T1055
Inyección en proceso
Evasión de defensa · 30,3 %
Ámbito de los dispositivos finales / EDR.

Fuente: Anthropic, LLM ATT&CK Navigator (3 de junio de 2026), 832 cuentas asignadas a MITRE ATT&CK . Consulte la tabla para ver las detecciones de Vectra correspondientes a cada técnica.

Conclusión n.º 3: el modelo en el que se basa el ataque está a punto de volverse más difícil de detectar

Hay motivos para pensar que este «punto ciego» inicial se ampliará. Proveedores como Anthropic están realizando importantes inversiones en medidas de seguridad, supervisión y detección para evitar que sus modelos se utilicen con fines maliciosos, y cada vez lo hacen mejor. Es probable que, como respuesta, algunos actores opten por modelos de código abierto que puedan ejecutar ellos mismos, sin las medidas de seguridad y sin la supervisión de ningún proveedor. Informes como este «Navigator» existen porque Anthropic puede ver sus propios sistemas. Los modelos autohospedados no ofrecen esa visibilidad, y actualmente se sabe muy poco sobre ese cambio.

Este es el argumento más sólido para basar la detección en el comportamiento, en lugar de en la herramienta. Un informe basado en los datos de un único proveedor no puede constituir tu estrategia de detección, ya que es posible que el siguiente operador ni siquiera utilice ese proveedor. Lo que no cambia es lo que el atacante tiene que hacer dentro de tu entorno. Una cuenta que inicia sesión desde un lugar inusual y accede a un servicio al que nunca ha accedido antes se percibe de la misma manera, independientemente de si la controla un ser humano, un modelo de Frontier o uno autohospedado. Anthropic reconoce abiertamente que ATT&CK aún no recoge lo que hizo que GTG-1002 fuera excepcional —la orquestación autónoma que encadenó técnicas a velocidad de máquina— y afirma que está en conversaciones con MITRE para añadir categorías de comportamiento agencial. Hasta que exista ese vocabulario, la detección que se mantiene válida es aquella que nunca ha dependido de nombrar la herramienta.

Lo que no cambia

Los atacantes están utilizando la IA para acceder más rápidamente y, cada vez más, para llevar a cabo el trabajo práctico una vez dentro. Esto hace que se den dos circunstancias a la vez: no verás la parte que ocurre en los equipos del atacante, y tampoco es necesario que lo hagas. Sí que puedes ver lo que ocurre en tus propios sistemas, si te centras en observar el comportamiento en la red y en las identidades, en lugar de ir tras la herramienta concreta que lo ha generado. Da por hecho que te han comprometido, vigila el comportamiento, y ten en cuenta que la IA del lado del atacante cambia la velocidad del problema, no la naturaleza de la solución.

Preguntas frecuentes