El ransomware creix amb l'ús d'IA i agents

Del Brasil als Estats Units, el Regne Unit a la Unió Europea, el ransomware va entrar a mitjans de la dècada com un tipus de paral·lel8-crime ↔: s'organitza com un servei, subcontracta passos i explota la dependència de les empreses i els governs dels sistemes connectats. La novetat no és l'encriptació en si, sinó com l'extorsió es combina amb operacions més ràpides, amb més dades robades i l'ús creixent de la intel·ligència artificial per reduir costos i augmentar l'abast.

L'informe Threat Landscape 2025, publicat per ENISA 'l'agència de la UE per a la ciberseguretat 'OE., va classificar la intel · ligència artificial com un dels elements definitoris del panorama actual de l'amenaça.L'informe destaca que les campanyes de pesca recolzades per IA han arribat a representar una proporció majoritària de les iniciatives d'enginyeria social observades l'any passat.L'impacte pràctic és directe: textos més convincents, adaptació lingüística al perfil de la víctima, automatització de proves d'aproximació i reducció del cost operatiu de l'atac.

La IA no substitueix completament l'operador humà en el ransomware, però redueix l'esforç en passos que històricament requerien temps i habilitat manual. Els models lingüístics s'utilitzen per produir correus electrònics altament personalitzats, analitzar dades exfiltrades per identificar informació sensible amb un major potencial per a la pressió i donar suport a la investigació de vulnerabilitats.El National Cyber Security Center, Regne Unit, ja ha advertit que la IA tendeix a augmentar l'eficiència, la freqüència i l'escala de les tàctiques existents, especialment en el reconeixement i l'explotació assistida.

El paper dels agents d'IA

L'avenç més sensible, però, és l'ús d'arquitectures basades en agents. A diferència d'un model només de text, els agents són sistemes capaços de planificar tasques, executar trucades a eines externes, interactuar amb API i mantenir el context en múltiples passos. Quan s'apliquen en entorns corporatius legítims, aquests agents automatitzen processos interns, integren sistemes i redueixen la fricció operativa. Des d'una perspectiva ofensiva, es pot utilitzar la mateixa lògica per coordinar accions distribuïdes.

Un atac estructurat pot implicar un agent dedicat a recopilar informació pública i interna, un altre centrat en la validació de credencials i l'explotació de permisos excessius, i un tercer responsable de l'operació d'API de serveis al núvol per mapejar recursos, fitxes i claus d'accés. Des de la intrusió inicial, l'automatització accelera el moviment lateral i l'exfiltració. 

Al Brasil, les alertes del governador CTIR ja descriuen des del 2022 la maduració de grups com BlackCat/ALPHV, que operen amb tècniques de moviment lateral i xifratge personalitzat. El que canvia ara és la capa addicional d'automatització intel·ligent, afegida a la creixent adopció corporativa d'integracions basades en API, comptes de servei i fluxos automatitzats.

Aquesta convergència amplia la superfície de risc. Cada integració afegeix credencials, fitxes i permisos. Cada agent corporatiu amb autonomia operativa representa una nova identitat de màquina. Si es compromet, aquests elements poden actuar amb aparent legitimitat dins de l'entorn. La investigació deixa de demanar només ↔quem accedit i comença a qüestionar ↔ quin sistema va realitzar una determinada acció i sota la qual cadena de decisions s'executa.

Des d'un punt de vista tècnic, respondre a aquestes noves amenaces requereix una revisió arquitectònica. Els models de confiança zero, la segmentació granular i el control estricte de les identitats de les màquines esdevenen una prioritat. La gestió de privilegis ha d'incloure comptes de servei i integracions automatitzades. Els registres s'han de centralitzar i protegir de la manipulació, permetent l'anàlisi del comportament basada en seqüències d'esdeveniments i no només alertes aïllades.

Les còpies de seguretat immutables segueixen sent una mesura clau contra el xifratge, però no aborden la dimensió de reputació de l'extorsió de fuites. El seguiment continu de l'exfiltració i les polítiques clares de resposta a incidents ara formen part de la planificació estratègica.

L'adopció de la intel · ligència artificial en les empreses no és, en si mateixa, el problema. Al contrari, pot reforçar la detecció i resposta quan s'aplica de manera estructurada. El risc sorgeix quan els agents operen amb permisos excessius, les integracions s'implementen sense un inventari adequat i les decisions automatitzades no tenen via auditable.

Ransomware ha evolucionat d’un atac tècnic a un model econòmic estructurat.La incorporació d’IA i agents autònoms accelera aquesta lògica, redueix costos per als delinqüents i augmenta la complexitat per a les empreses, que necessiten mantenir actualitzades les seves estratègies de defensa.La prioritat estratègica és governar identitats, API i algorismes amb el mateix rigor aplicat als actius físics i financers.

Les empreses que tracten agents i automatitzacions com a part central de l'arquitectura de risc estaran millor posicionades per fer front a la següent onada. Aquells que veuen la IA només com una eina de productivitat poden trobar massa tard que l'autonomia sense control augmenta en silenci però de manera decisiva l'exposició.