Europol publica el IOCTA 2026 y la conclusión es que la inteligencia artificial ha convertido el cibercrimen en una amenaza más rápida, autónoma y difícil de combatir que nunca. Te contamos las claves.
La inteligencia artificial, el cifrado extremo y las redes proxy residenciales están redibujando el mapa del crimen organizado en internet. Así lo advierte Europol en su evaluación anual IOCTA 2026, un documento que retrata un ecosistema delictivo cada vez más autónomo, veloz e invisible para las fuerzas del orden.
La IA: el gran acelerador del crimen digital
El cambio más significativo de este ciclo es la integración masiva de herramientas de inteligencia artificial en las operaciones criminales. Los ciberdelincuentes utilizan ya IA generativa para personalizar ataques de ingeniería social, falsificar identidades de empleados bancarios o agentes de policía, y automatizar fraudes a escala industrial.
➡️ Te puede interesar: Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa
Pero el informe va más allá, y también advierte del surgimiento de sistemas de IA agéntica, capaces de ejecutar flujos de trabajo criminales completos con mínima o nula intervención humana. Esto transforma el cibercrimen en una amenaza cada vez más intangible, donde los autores se distancian físicamente de sus delitos.
El fraude online: el crimen de mayor crecimiento
Los esquemas de fraude online representan el área de crimen organizado de crecimiento más rápido. Las tipologías más notificadas por los Estados miembro son el fraude de inversión —especialmente en criptomonedas—, el compromiso de correo empresarial (BEC), el fraude romántico y el fraude contra sistemas de pago.
Las redes criminales operan como industrias transnacionales, sirviéndose de phishing, granjas de tarjetas SIM y publicidad maliciosa en plataformas masivas para alcanzar a millones de víctimas simultáneamente. Un solo caso detectado reveló una infraestructura de 1.200 dispositivos SIM-box con 40.000 tarjetas SIM operativas, vinculada a la creación fraudulenta de más de 49 millones de cuentas online.
Ransomware: más de 120 marcas activas en 2025
El ransomware sigue siendo una amenaza dominante. Europol identificó más de 120 marcas activas de ransomware durante 2025. Asimismo, el modelo de extorsión ha evolucionado, porque ya no se trata solo de cifrar datos, sino de amenazar con publicarlos, combinar ataques DDoS y realizar llamadas directas a las víctimas para incrementar la presión psicológica.
Además, el informe señala una fusión preocupante entre actores estatales y grupos criminales, donde los primeros utilizan redes cibercriminales como proxies para operaciones de desestabilización, como ocurrió con la red prorrusa NoName057(16), desarticulada en la Operación Eastwood con la participación de 19 países.
Infraestructura criminal: capas sobre capas de anonimato
De igual modo, los delincuentes han sofisticado extraordinariamente su infraestructura. Utilizan servicios de alojamiento a prueba de balas, cadenas de subarrendamiento de servidores en múltiples jurisdicciones, enrutamiento a través de nodos VPN y Tor, y proxies residenciales que disfrazan el tráfico malicioso como actividad doméstica legítima.
➡️ Te puede interesar: Curso de Director de Ciberseguridad
Algunos grupos han dado un paso más y despliegan su propia infraestructura propietaria para evitar órdenes de incautación. En paralelo, las criptomonedas de alta opacidad y los servicios de mezcla —como el Cryptomixer desmantelado en noviembre de 2025 tras mezclar más de 1.300 millones de euros en bitcoin— complican radicalmente el rastreo de flujos financieros ilícitos.
Explotación sexual infantil: tecnología al servicio del abuso
El informe dedica un capítulo alarmante a la explotación sexual de menores (CSAM). Los casos de extorsión sexual se han disparado un 70% en el primer semestre de 2025 respecto al mismo periodo del año anterior. La IA generativa ha multiplicado la producción de material sintético de abuso, mientras las aplicaciones de cifrado extremo (E2EE) dificultan gravemente la intervención policial. La plataforma Kidflix, desmantelada en 2025, acumuló más de 1,8 millones de usuarios registrados y 80.000 vídeos durante sus cuatro años de actividad.
Lo que viene: autonomía criminal y brecha de velocidad
El horizonte que dibuja Europol es inquietante. La brecha de velocidad entre la capacidad de adaptación de los criminales y la de las fuerzas del orden se amplía. Para cerrarla, el informe reclama que las autoridades inviertan en capacidades de IA propias, mejoren la cooperación transfronteriza, y negocien marcos regulatorios que garanticen el acceso legal a datos retenidos por plataformas digitales. La ciberseguridad del futuro no dependerá solo de la tecnología, sino de la voluntad política de construirla.
