La dark web comercializa herramientas de IA sin censura como LLMs modificados (ej. WormGPT y FraudGPT), deepfakes-as-a-service, kits de phishing automatizados, bots de ingeniería social y datasets robados para entrenar modelos, eliminando restricciones éticas y facilitando ciberataques incluso a no expertos, aunque algunos servicios resultan ser fraudes.

Un grupo cibercriminal vinculado a la red de distribución de contenido FUNNULL ha regresado con una infraestructura mucho más sofisticada y evasiva. Conocido como Triad Nexus, el grupo ha reconstruido su operación global de fraudes tras las sanciones del Departamento del Tesoro de EE.UU., desplegando más de 175 dominios CNAME rotativos aleatoriamente para alimentar una extensa red de portales de estafa

Un actor de amenazas llamado Jinkusu vende un kit de fraude con Deep Fakes e IA para burlar sistemas KYC en plataformas cripto y bancos, usando intercambio de caras en tiempo real y modulación de voz. Expertos advierten que la IA facilita el fraude de identidad sintética, obligando a adoptar seguridad por capas. Jinkusu también está vinculado al kit de phishing Starkiller, que roba credenciales mediante proxies inversos.

El mundo cibercriminal clandestino presenció un desarrollo notable el 22 de marzo de 2026, cuando apareció en la dark web un nuevo sitio de filtraciones basado en Tor llamado “ALP-001”, promocionándose abiertamente como un “Mercado de Filtraciones de Datos / Accesos”. La aparición de esta plataforma refleja una tendencia creciente en la que actores de amenazas consolidados, que tradicionalmente venden acceso a redes corporativas.

Aleksei Volkov, un ciudadano ruso de 26 años, ha sido condenado a 81 meses de prisión federal por operar como Initial Access Broker (IAB). Sus actividades ilícitas permitieron directamente a importantes sindicatos del cibercrimen, incluyendo al notorio grupo de ransomware Yanluowang, comprometer numerosas redes corporativas en los Estados Unidos.

El FBI, en coordinación con múltiples agencias internacionales de aplicación de la ley, ha incautado oficialmente LeakBase, un destacado foro cibercriminal conocido por alojar y comerciar bases de datos robadas, en el marco de una operación global coordinada denominada “Operation Leak”. Ambos dominios principales, leakbase[.]ws y leakbase[.]la, ahora redirigen a los visitantes a un banner de incautación del FBI, con los servidores de nombres cambiados a ns1.fbi.seized.gov y ns2.fbi.seized.gov. 

Un grupo de cibercrimen vinculado a Rusia, denominado Diesel Vortex, ha estado llevando a cabo una gran operación de phishing contra empresas de transporte y camiones en Estados Unidos y Europa. La campaña se desarrolló desde septiembre de 2025 hasta febrero de 2026 y resultó en el robo de más de 1.649 credenciales de inicio de sesión de usuarios de importantes plataformas logísticas, como DAT Truckstop, Penske Logistics, entre otras.

El fraude con tarjetas de crédito ha persistido a pesar de los esfuerzos globales de mitigación, evolucionando de operaciones ilegales dispersas a una economía altamente organizada de Carding-as-a-Service (CaaS). Esta estructura clandestina ahora imita a los mercados en línea legítimos, proporcionando a los delincuentes acceso simplificado a datos de pago robados, herramientas especializadas y soporte al cliente.

El panorama de la ciberseguridad ha entrado en una peligrosa nueva fase en la que los agentes autónomos de IA están pasando de ser simples herramientas de automatización a convertirse en sofisticados operadores criminales. Estos sistemas autodirigidos ahora ejecutan ciberataques complejos sin supervisión humana, lo que marca un cambio fundamental en la forma en que surgen y se propagan las amenazas digitales en las redes de todo el mundo. 

Group-IB alerta sobre la weaponización de la IA en cibercrimen, transformando habilidades especializadas en servicios bajo demanda accesibles con tarjeta de crédito, con un aumento del 371% en publicaciones dark web sobre IA desde 2019 y herramientas como Dark LLMs (ej. Nytheon AI) o deepfakes por 5 USD, industrializando ataques sofisticados a escala global.

 El uso de ChatGPT y otras aplicaciones potenciadas por la inteligencia artificial para fines maliciosos no es nuevo. Pero ahora Microsoft y OpenAI han divulgado una investigación sobre cómo los principales grupos de actores de amenazas afiliados a Rusia, China, Irán y Corea del Norte están sacándoles provecho para mejorar sus ciberataques.

Tuvalu –una isla polinesia que gestiona el dominio .tv– o Anguila que personaliza las direcciones de las páginas web, se convierta en una mina de oro para estas comunidades. a del peor “colonialismo digital”, advierten en Tokelau. Este archipiélago del Océano Pacífico, habitado por unas 1.500 personas, tiene asignado el dominio .tk. La guarida preferida por el cibercrimen internacional desde el siglo pasado.

Hace unos días, Kaspersky publicaba un informe en el que señalaba que Telegram se había convertido en una "sucursal de la darkweb", y advertían que este tipo de actividades han crecido en el último año y medio en la aplicación. "Al relacionarse a través de Telegram, los delincuentes pueden comunicarse de manera privada y segura, algo que dificulta la labor de las autoridades para identificarlos y detenerlos", explica Marc Rivero. Así, enfatiza que han podido descubrirlos porque están "ubicados en el mismo dominio o comparten elementos de código".