La dark web comercializa herramientas de IA sin censura como LLMs modificados (ej. WormGPT y FraudGPT), deepfakes-as-a-service, kits de phishing automatizados, bots de ingeniería social y datasets robados para entrenar modelos, eliminando restricciones éticas y facilitando ciberataques incluso a no expertos, aunque algunos servicios resultan ser fraudes.

 El ransomware The Gentlemen, surgido en julio de 2025 como RaaS tras una disputa con Qilin, ha atacado a 48 víctimas en América Latina usando extorsión dual (cifrado + robo de datos) con algoritmos XChaCha20 y Curve25519. Explotan vulnerabilidades en VPN FortiGate (CVE-2024-55591), servicios remotos y credenciales débiles, propagándose mediante movimiento lateral automatizado y desactivando defensas como Windows Defender. Dirigen ataques a Windows, Linux y ESXi, afectando bases de datos, respaldos y virtualización.

El mundo cibercriminal clandestino presenció un desarrollo notable el 22 de marzo de 2026, cuando apareció en la dark web un nuevo sitio de filtraciones basado en Tor llamado “ALP-001”, promocionándose abiertamente como un “Mercado de Filtraciones de Datos / Accesos”. La aparición de esta plataforma refleja una tendencia creciente en la que actores de amenazas consolidados, que tradicionalmente venden acceso a redes corporativas.

Google ha desplegado oficialmente agentes de inteligencia artificial Gemini dentro de Google Threat Intelligence para monitorear de forma autónoma foros de la dark web en vista previa pública. Estos agentes procesan millones de publicaciones diarias, utilizando perfiles organizacionales avanzados para detectar riesgos de seguridad específicos como filtraciones de datos y brokers de acceso inicial. El monitoreo tradicional de la dark web depende en gran medida de expresiones regulares y raspado de palabras clave estáticas

Un actor de amenazas que opera bajo el alias *Sythe* ha reclamado la responsabilidad de filtrar la base de datos completa de WormGPT, una plataforma de inteligencia artificial enfocada en cibercrimen que ha sido vendida en foros de la dark web desde 2023. Según observaciones de *Hackmanac*, la supuesta brecha habría expuesto información sensible vinculada a más de 19.000 usuarios, 

Afirma haber atacado al Ministerio de Hacienda y filtrado en la Dark Web una base de datos con información de 47,3 millones de españoles

Group-IB alerta sobre la weaponización de la IA en cibercrimen, transformando habilidades especializadas en servicios bajo demanda accesibles con tarjeta de crédito, con un aumento del 371% en publicaciones dark web sobre IA desde 2019 y herramientas como Dark LLMs (ej. Nytheon AI) o deepfakes por 5 USD, industrializando ataques sofisticados a escala global.