China, Rusia e Irán llevan la confrontación geopolítica a una nueva fase: la de la guerra asistida por IA

Cuatro conflictos activos, seis potencias, y una tecnología que ha reescrito las reglas de la guerra sin que se disparara un solo misil: la inteligencia artificial. No hablamos de drones dirigidos en muchos casos de forma autónoma, ni tan siquiera de los sistemas usados por algunos de los contendientes para identificar a sus objetivos a eliminar, que sería lo más llamativo y bien conocido.

Empero, la verdadera batalla sucede en el ciberespacio, en la pugna por las percepciones y el control de la opinión pública. Y, por supuesto, en el ataque informático a infraestructuras críticas o sectores sensibles del enemigo.

23.000 artículos al día: ese es el ritmo al que la red de propaganda pro-Kremlin Pravda generó contenido de desinformación en 2025, impulsada por inteligencia artificial generativa.

A muchos kilómetros de distancia, en junio del pasado año, operadores iraníes observaron en tiempo real, desde cámaras de seguridad comprometidas, el movimiento de vehículos alrededor del Instituto Weizmann, en Israel, minutos antes de que los misiles despegaran.

La tecnología moderna, y en particular la inteligencia artificial, ha entrado en el ciberespacio como multiplicador de fuerza, y con ella, la guerra híbrida ha adquirido una escala, velocidad y capacidad de daño psicológico que los marcos regulatorios y defensivos del mundo occidental todavía no están preparados para contener.

La primera guerra 'híbrida' de la historia: ciberataques, activismo y dudas sobre cómo defenderse del mundo virtual

El Foro Económico Mundial, este mismo año, hacía la siguiente advertencia a navegantes: "La inteligencia artificial, la fragmentación geopolítica y el aumento del fraude cibernético están redefiniendo el panorama mundial de los riesgos cibernéticos a una velocidad sin precedentes".

En ese marco, Eusebio Nieva, director técnico de Check Point para España y Portugal, resume a preguntas de DISRUPTORES - EL ESPAÑOL el cambio de época con una idea central: “El papel de la ciberseguridad en los conflictos es cada vez más relevante y el ciberespacio ya forma parte del teatro de operaciones de un conflicto armado. Se usa para posicionamiento y acondicionamiento, apoyo operacional, con efecto directo mediante ataques destructivos y, finalmente, con el modelo de la narrativa con 'fake news'”.

Lo que sigue es un recorrido por los cuatro grandes teatros de conflicto en curso y las distintas acciones y sucesos que han elevado a la guerra híbrida a un nuevo plano de dimensiones desconocidas hasta el momento.

Rusia-Ucrania: la máquina de saturar mentes

Rusia lleva dos décadas perfeccionando la doctrina de la guerra híbrida pero, en 2025, dio un salto cualitativo: incorporó la IA generativa a su ciclo de operaciones de forma sistemática y medible.

El grupo APT44, también conocido como Sandworm, sincronizó ataques con wipers destructivos contra infraestructuras ucranianas -energía, logística, agricultura, gobierno- en ventanas temporales coincidentes con bombardeos de misiles y enjambres de drones. La lógica es tan simple como efectiva: cuando las sirenas suenan, los sistemas de comunicación colapsan; cuando los sistemas colapsan, la restauración es más lenta; cuando la restauración es lenta, la narrativa rusa ya ha ocupado el espacio vacío.

Cementerio de soldados rusos caídos en la guerra con Ucrania en Volzhsky, Volgogrado (AP / TASS)

Ese espacio lo llena hoy una máquina. Como anticipábamos, la red Pravda pro-Kremlin publicó en 2025 hasta 23.000 artículos diarios generados con IA, distribuidos a través de cientos de sitios web, incluidos portales en inglés diseñados para posicionarse en buscadores y sistemas de inteligencia artificial occidentales.

No se trata ya de propaganda artesanal, más bien de una operación industrial de saturación cognitiva que los investigadores denominan LLM grooming: la exposición masiva y continuada de modelos de lenguaje a inputs sesgados, con el objetivo de contaminar los resultados que esos modelos ofrecen a millones de usuarios.

Por si fuera poco, el APT28 (vinculado a la inteligencia militar rusa, GRU) añade otra dimensión mayor al conflicto. Aprovechando accesos multianuales a redes de logística occidental, este grupo monitorizó el pasado año los flujos de ayuda a Ucrania a través de redes ferroviarias, marítimas y aéreas europeas.

Para ello, además, hackeó más de 10.000 cámaras conectadas a internet en territorio ucraniano (obtenidas mediante credenciales débiles y dispositivos mal configurados), construyendo una red de vigilancia distribuida y en tiempo real.

Una inteligencia de movimiento que antes requería operativos humanos sobre el terreno y que ahora corre con algoritmos de visión artificial sobre hardware civil.

Irán-Israel: inteligencia de cámaras, hospitales y mentiras a escala

Si podemos decir que Rusia perfecciona la narrativa, Irán domina la preparación silenciosa. A lo largo de 2025, los grupos Handala y CyberAv3ngers -afiliados al estado iraní- ejecutaron un 1.200% más de intentos de explotación de cámaras israelíes que el pasado curso con el objetivo de conocer las posiciones y movimientos de su (entonces y ahora) enemigo mortal.​

En junio, cuando Irán lanzó misiles contra el Instituto Weizmann, las cámaras del entorno ya estaban comprometidas. Operadores iraníes monitorizaron en tiempo real el movimiento en aparcamientos y vías adyacentes durante horas previas al ataque. Algo así como una red improvisada de reconocimiento visual, articulada con sensores civiles, que la IA procesó para optimizar el soporte operativo en tiempo real.

Iraníes quemando banderas de Israel y EEUU y mostrando imágenes del líder supremo muerto Alí Jamenei. Majid Asgaripour Reuters / WANA

La coerción civil también fue ingente, con más de 1.200 operaciones de ingeniería social documentadas contra la población israelí: mensajes SMS falsos imitando el sistema nacional de alertas de cohetes, imágenes generadas por IA mostrando una sociedad israelí colapsada, campañas de hashtags coordinadas amplificando narrativas de escasez y derrumbe.

Nada de esto era real. Todo era inteligencia artificial generativa al servicio del pánico inducido.

La inteligencia artificial de Israel contra Gaza, bajo la lupa: algoritmos que marcan personas para eliminarlas

Empero, quizás el caso más revelador fue el ataque contra el hospital Shamir Medical Center, perpetrado con el ransomware Qilin, habitualmente asociado a crimen organizado financiero. La investigación posterior vinculó la operación a actores alineados con el estado iraní, que retiraron las demandas de rescate cuando la atribución se hizo pública. En este caso, la inteligencia artificial generativa permitió integrar los documentos de extorsión, las narrativas de leak y las presiones regulatorias simuladas.

Predatory Sparrow respondió por el lado contrario: dos ataques masivos contra el Bank Sepah (con destrucción masiva de datos bancarios centrales) y contra Nobitex, el mayor exchange de criptomonedas iraní, donde activos digitales quedaron inaccesibles y el código fuente fue publicado. Irán, como todos recordamos, respondió cortando internet a escala nacional durante más de 24 horas, en un movimiento defensivo que, paradójicamente, impactó a millones de civiles.

India-Pakistán: el algoritmo en la línea de control

Cuando 26 personas murieron en el ataque de Pahalgam en abril pasado, India señaló a Pakistán. Y la respuesta cibernética no tardó: el grupo APT36, vinculado a Islamabad, lanzó una campaña de phishing hiperpersonalizado utilizando documentos señuelo que simulaban informes oficiales del incidente.

El objetivo no era otro que el personal de defensa indio, diana predilecta de Crimson RAT, el troyano de acceso remoto que permitía el robo de credenciales, persistencia en redes sensibles y observación de flujos internos de decisión militar.

Soldado pakistaní en el puesto fronterizo 'Puerta de la Amistad', cerca de Chamán (Pakistán), durante los ataques del 27 de febrero. Reuters.

En este caso, la inteligencia artificial facilitó la fase de targeting, desde la generación automatizada de lures creíbles, adaptados al contexto emocional del momento, hasta los perfiles de víctimas específicas y al lenguaje institucional de defensa. Un ataque a medida que antes requería semanas de elaboración manual, pero que Pakistán pudo ejecutar en apenas unos días.

En paralelo a los intercambios de drones y misiles en la Línea de Control, India reportó operaciones masivas de denegación de servicio (DDoS), intrusiones de malware y GPS spoofing coordinados con los ciclos cinéticos. Unos ataques que distaban mucho de ser oportunistas; todo lo contrario, eran perfectamente coreografiados para degradar el ánimo de batalla justo cuando la toma de decisiones era más crítica y más costosa en tiempo.

Tailandia-Camboya: la IA al alcance de actores pequeños

El conflicto fronterizo entre Tailandia y Camboya en mayo de 2025 nos acerca a la dimensión democrática de la inteligencia artificial en lo que a ciberseguridad se refiere: la geopolítica digital ya no es un monopolio de las grandes potencias.

Así pues, en las 24 horas posteriores a un anuncio televisado tailandés de alerta militar máxima, las plataformas digitales del gobierno de ese país absorbieron 223 millones de peticiones maliciosas. Una sobrecarga calculada, no aleatoria, para colapsar servicios públicos en un momento extraordinariamente sensible para su población, preocupada y expectante ante los acontecimientos.

Los líderes de Camboya y Tailandia firman el acuerdo de paz en presencia de Trump y el primer ministro malasio Anwar Ibrahim, en Kuala Lumpur. Mohd Rasfan Reuters

Pero no sólo pasó eso. El grupo camboyano KH Nightmare también filtró 800 GB de datos gubernamentales tailandeses, construyendo un relato de vulnerabilidad estatal que erosionó la confianza institucional en las autoridades de Bangkok.

La IA procesó, clasificó y distribuyó los datos exfiltrados para maximizar su impacto narrativo. Y es que no hay nada como contar con la ayuda de la inteligencia artificial para saber cuándo y cómo liberar la información robada para que su efecto psicológico sea máximo.

China: el espionaje de infraestructura a escala global

Salt Typhoon representa la dimensión más sistémica y preocupante de la IA en la geopolítica cibernética, que dicho sea no es de extrañar que sea de origen chino, gran vector de ciberamenazas junto al sempiterno ecosistema ruso.

Este actor, documentado en una alerta conjunta firmada por 23 agencias de inteligencia de Estados Unidos, Europa, Oceanía y Asia, comprometió durante el curso pasado los backbone routers de grandes proveedores de telecomunicaciones globales, así como redes gubernamentales, de transporte y militares.

El presidente chino, Xi Jinping, en una imagen de archivo. EFE

La sofisticación china reside en la paciencia algorítmica: herramientas como BRICKSTORM -diseñada para persistencia en dispositivos edge y virtualización- o plataformas como ShadowPad y PlugX permiten a múltiples grupos operar en paralelo, en distintos continentes y sectores, como si el mundo entero fuera una única superficie de ataque gestionada centralmente.

Tan sólo en 2025 explotaron vulnerabilidades de zero-day en sistemas de marcas como Ivanti, Juniper, Cisco ASA, de cuyo código fuente sustrajeron información estratégica.

Es cierto que China usa la IA no para el ruido narrativo ruso, de hecho lo hacen de forma mucho más silenciosa y con más enjundia. El objetivo evidente de Pekín es lograr un acceso persistente, invisible, de largo plazo, orientado al espionaje industrial y a la cartografía de dependencias críticas occidentales.

Una preparación que, cuando llegue el momento de activarse (quién sabe si con Taiwán como primera víctima), lo hará sobre infraestructuras ya totalmente comprometidas.

El nuevo campo de batalla: la mente, la confianza y el tiempo

La IA ha democratizado y acelerado este tipo de guerra híbrida. Antes, fabricar 23.000 artículos de propaganda requería ejércitos de redactores. Hoy requiere un prompt y un servidor. Antes, un ataque de phishing sofisticado contra un general indio requería semanas de OSINT manual. Hoy un modelo de lenguaje genera lures creíbles en minutos. Antes, monitorizar 10.000 cámaras simultáneamente requería infraestructura masiva. Hoy, visión artificial e IA de detección de patrones lo hacen en tiempo real.

Al respecto, Eusebio Nieva, defiende que “los ataques más críticos no son necesariamente impulsados por IA todavía en estos conflictos, pero no deja de ser una herramienta más y que poco a poco se irá usando en todos esos casos”.

Desde ENISA coinciden en este diagnóstico al señalar que "las actividades de amenaza relacionadas con la IA se centraban en el uso de herramientas de IA de consumo para mejorar las operaciones existentes. Sin embargo, los nuevos sistemas maliciosos de IA plantean inquietudes sobre sus capacidades futuras debido al uso generalizado de modelos de IA".

Así que, señoras y señores, todo lo anterior no es más que el principio de una distópica historia...