Actores maliciosos de IA mapeados en MITRE ATT&CK: el puntaje ARiES y lo que rompe

¿Qué es esto?

El 3 de junio de 2026, el Frontier Red Team de Anthropic (Kyla Guru, Alex Moix y Jacob Klein) publicó un informe que mapea un año de uso malicioso de la IA en MITRE ATT&CK, junto con un análisis técnico más detallado en el blog Red, parte del cual alimentó el Data Breach Investigations Report 2026 de Verizon.

El conjunto de datos abarca 832 cuentas baneadas por violaciones de la política de uso relacionadas con ciberseguridad entre marzo de 2025 y marzo de 2026 — el subconjunto con suficiente detalle para mapear tácticas, técnicas y procedimientos en MITRE ATT&CK V18. En total, el equipo registró 13 873 acciones observadas en 482 técnicas únicas y las 14 tácticas de ATT&CK. Es una medición de cómo los actores abusan de los modelos de uso general hoy, no una divulgación de vulnerabilidad: el valor está en las tendencias que revela a los defensores.

Cómo funciona

El informe introduce un método de puntuación, el AI Risk Enablement Score (ARiES), que califica a cada actor de 0 a 100. Es deliberadamente aditivo — Amenaza (0–35) + Vulnerabilidad/interfaz (0–35) + Impacto (0–30) — en lugar del clásico Amenaza × Vulnerabilidad × Impacto multiplicativo. La razón: un puntaje aditivo sigue destacando un caso donde falta una dimensión (por ejemplo, un malware funcional sin víctima identificada aún), que es justamente la señal temprana que busca un sistema de detección.

Lo que los actores realmente piden a los modelos se concentra en las fases preparatorias:

Técnica (ID MITRE)                Cuota de actores   Fase
--------------------------------  -----------------  -----------------------------
T1587.001 Desarrollo de malware    560 / 832 (67%)   Desarrollo de recursos
T1027 Archivos/Info ofuscados      64,7%             Evasión defensiva
T1005 Datos del sistema local      55,9%             Recolección
T1562 Debilitar defensas           54,9%             Evasión defensiva
T1087 Descubrimiento de cuentas    (al alza +8,9%)   Descubrimiento poscompromiso
T1021 Servicios remotos (SSH/SMB)  ~0,7% de obs.     Movimiento lateral
T1003 Robo de credenciales OS      raro              Acceso a credenciales

La evasión defensiva es la táctica más presente, en el 84,4 % de los actores. El trabajo manual dentro de la red es raro — el movimiento lateral aparece solo en 54 de los 832 actores (6,5 %). El actor mediano usó 16 técnicas distintas, y el 80 % pasó por Claude Code, lo que convierte al instrumental agéntico en el modo de acceso por defecto y no en un factor distintivo.

El hallazgo principal está en lo que no predice el riesgo. Tras eliminar la circularidad, la sofisticación técnica supuesta de un actor correlaciona con el resto del puntaje solo en r = 0,28; la amplitud de cobertura de técnicas en r = 0,27; y la interfaz (chat, API o herramienta de codificación agéntica) no muestra correlación significativa. El diferenciador duradero es en qué punto de la cadena de ataque se aplica la IA — y, por encima, el andamiaje (scaffolding) que un actor construye para encadenar etapas de forma autónoma.

El ejemplo más claro es GTG-1002, la operación de espionaje patrocinada por el Estado chino que Anthropic neutralizó en noviembre de 2025. Su perfil MITRE — 30 técnicas en 13 tácticas — parecía un actor de riesgo medio, pero alcanzó el máximo de 100. La diferencia fue la orquestación: Claude Code en una máquina Kali, herramientas de pentest de código abierto conectadas como servidores MCP, el modelo ejecutando reconocimiento, explotando una SSRF, recolectando credenciales y pivotando lateralmente, con humanos interviniendo solo en unos pocos puntos de decisión.

Por qué importa

Tres cambios importan para los defensores.

Primero, la clasificación del riesgo basada en la sofisticación del actor se está quebrando. Movimiento lateral, escalada de privilegios y descubrimiento de cuentas antes implicaban un operador capaz y bien dotado. El informe muestra a la IA realizando esos pasos en nombre de actores poco cualificados — y la proporción de actores de riesgo medio o superior pasó del 33 % al 56 % en menos de un año (≈1,7×) sin que esos actores ganaran competencia.

Segundo, el comportamiento más riesgoso se traslada al interior de la red. El descubrimiento de cuentas (T1087) subió 8,9 % y la exfiltración automatizada (T1020) subió 6,2 % de un semestre a otro, mientras el phishing (T1566) cayó 8,6 %. Los actores que usaron IA para movimiento lateral promediaron un puntaje de 56,4 frente a una media de 46,8 — el predictor más fuerte de los datos.

Tercero, MITRE ATT&CK aún no tiene identificadores para los comportamientos que definen a los peores actores: orquestación autónoma de la cadena de ataque, decisiones de pivote en tiempo real y ejecución dirigida por IA sin humano en el bucle. Anthropic indica estar en conversaciones activas con MITRE para añadir categorías transversales para estos patrones agénticos. (Para contexto sobre lo que los agentes cambian en la superficie de ataque, véase los agentes como sistemas operativos y Project Glasswing.)

Defensas

Este informe es un insumo de planificación, no un parche. Las conclusiones tratan sobre el diseño de la detección y la clasificación.

1. Deje de clasificar a los actores por sofisticación, número de técnicas o interfaz. Cada uno es un predictor débil (r ≈ 0,27–0,28, o nulo). Reponderie su puntuación hacia qué técnicas busca un actor y cómo las encadena, no cuántas.
2. Instrumente el uso de IA poscompromiso. Las señales de riesgo al alza son el descubrimiento de cuentas (T1087), la exfiltración automatizada (T1020), los servicios remotos (T1021), el robo de credenciales OS (T1003) y los web shells (T1505.003). El movimiento lateral es el marcador aislado más fuerte — alerte con firmeza sobre él.
3. Detecte la orquestación, no solo las técnicas. Construya señales para la ejecución autónoma multietapa, los pivotes dirigidos por IA y las operaciones aumentadas por herramientas vía servidores MCP — los patrones que le dieron a GTG-1002 un puntaje máximo pese a un número de técnicas banal. Hasta que ATT&CK añada identificadores, rastréelos como sus propios marcadores transversales.
4. Reduzca el tiempo de vulnerabilidad a parche. Cuando actores poco cualificados pueden operar un arnés de nivel experto, la ventana entre que un bug se vuelve descubrible y se explota se estrecha. Trate el código inseguro como una responsabilidad urgente, no como un elemento del backlog.
5. Use la IA simétricamente en defensa. Automatización del SOC, triaje, análisis de registros y respuesta a incidentes son justamente los ámbitos donde la misma capacidad agéntica ayuda a los equipos azules. Anthropic encamina el trabajo defensivo de doble uso a un Cyber Verification Program en lugar de bloquearlo.
6. Comparta inteligencia de amenazas. TTP, indicadores y métodos de puntuación como ARiES son más útiles compartidos entre organizaciones — el propio informe existe porque Anthropic mapeó y compartió sus datos de baneos.

Estado

Elemento	Referencia	Fecha	Notas
Informe balance anual	Anthropic News	2026-06-03	832 cuentas, mar 2025–mar 2026
LLM ATT&CK Navigator + ARiES	red.anthropic.com	2026-06-03	13 873 acciones, 482 técnicas, 14 tácticas, ATT&CK V18
Verizon 2026 DBIR	Verizon	2026	11 meses de los mismos datos aportados
Caso de espionaje GTG-1002	Anthropic News	2025-11-13	ARiES máx. 100; orquestación agéntica vía Claude Code + MCP
Evolución de MITRE ATT&CK	Anthropic / MITRE	en curso	Conversaciones para añadir categorías de orquestación agéntica

El encuadre correcto no es «la IA ahora escribe malware» — eso es cierto desde hace tiempo. Es que la línea que separa a un atacante de bajo riesgo de uno de alto riesgo ya no es la habilidad técnica sino la orquestación, y la taxonomía en la que se apoyan los defensores aún no la describe.