Delincuencia digital organizada: planes de acción regionales para una IA segura y soberana

La rápida expansión de la inteligencia artificial constituye una ruptura estratégica de los sistemas de justicia, seguridad y ciberseguridad. 

Las herramientas de inteligencia artificial como NanoBanana, Grok, ChatGPT, FraudGPT, OnlyFAKE o DeepSeek son utilizadas por grupos criminales transnacionales en América Latina, el Caribe, Asia y la Unión Europea para aumentar la eficiencia, mejorar y automatizar sus operaciones, fraccionar, ocultar y lograr un mayor hiperrealismo en sus actividades ilícitas con mayor facilidad. Se pueden observar ejemplos comunes en el uso delictivo de deepfakes, tanto en las estafas a gran escala o los secuestros virtuales como en la producción de contenido sintético de abuso sexual de menores.

El uso malintencionado de la IA por parte de grupos delictivos transnacionales ha aumentado de manera exponencial en los últimos 18 meses. Hay tres grandes categorías de grupos criminales que utilizan la IA.

En primer lugar, los grupos tradicionales más jerarquizados, que han integrado herramientas de IA para extender sus actividades ilícitas en complemento del tráfico de drogas o delitos ambientales. En esta categoría se incluyen grupos como el Cartel Jalisco Nueva Generación en México, el Comando Vermelho en Brasil o el Clan del Golfo en Colombia. En todos los casos, el uso de la IA se relaciona principalmente con la automatización de las rutas de transporte de mercancías ilícitas, el control territorial, la ingeniería social vinculada al reclutamiento y la trata de seres humanos, el uso de vehículos autónomos para cometer homicidios o transportar mercancías ilícitas, así como la cibercriminalidad.

La segunda categoría está compuesta por los llamados cibercolectivos. Se trata de grupos cuya actividad criminal se centra específicamente en ser “proveedores de servicios”. Gracias al uso de deepfakes, los delitos más recurrentes de estos grupos son las estafas automatizadas, como la carnicería de cerdos, el lavado de dinero y los secuestros virtuales. Del mismo modo, grupos criminales como FunkSec se han especializado en ciberdelincuencia, principalmente en el ransomware-as-a-service y los malware automatizados destinados a robar datos personales e información sensible, que luego venden en la darkweb o explotan directamente.

Finalmente, la tercera categoría consiste en plataformas que venden sus servicios para automatizar ciberataques mediante herramientas de IA desarrolladas y alojadas en servidores privados. Se trata de la expresión más avanzada de lo que Europol denomina “crimen como servicio”. Estas plataformas operan sobre la base de suscripciones mensuales o anuales para personalizar y optimizar las herramientas de IA ya desarrolladas. 

Ante esta evolución, es imperativo que los Estados no se limiten a respuestas sectoriales y elaboren marcos jurídicos, institucionales y técnicos para anticipar los riesgos, pero que también recurran a la IA con fines defensivos. Dentro de esta perspectiva, Expertise France interviene en apoyo de las políticas públicas, a nivel nacional, regional y multilateral.

Debido a su desarrollo económico, la vulnerabilidad situacional de ciertas poblaciones y el nivel de digitalización que existe, América Latina, el Caribe y la Unión Europea son tres regiones particularmente vulnerables a este tipo de delitos que se cometen con ayuda de la IA. Ante este contexto, el programa EL PACCTO 2.0 de la UE decidió lanzar junto con el Laboratorio de Innovación una acción específica sobre inteligencia artificial y delincuencia, ambos temas supervisados por Expertise France.

Su misión principal consiste en fortalecer la capacidad de las instituciones de justicia y seguridad para desarrollar herramientas éticas de IA destinadas a la investigación penal y a una mejor administración de la justicia. Esto condujo a crear una Dirección de IA en la Asamblea Legislativa de Costa Rica y una Unidad de Análisis Penal basada en IA en la Fiscalía General de la República Dominicana.

Expertise France también trabaja en la actualización de los marcos normativos y la creación de estrategias nacionales de IA en los ámbitos de la justicia y la seguridad. Con este fin, se ha elaborado una ley modelo para clasificar los delitos cometidos con ayuda de la IA. Esta ley modelo se aprobó como marco regulador regional en los países de América central, México y la cuenca del Caribe. Además, se han elaborado directrices específicas para los países que desean contar con estrategias nacionales en materia de IA. 

Por último, el programa EL PACCTO 2.0 trabaja para concienciar sobre las nuevas tendencias criminales relacionadas con la IA a través de la publicación de cinco documentos técnicos específicos. Estos documentos permitieron identificar a grupos delictivos, sus modi operandi, las tecnologías utilizadas y su ubicación, con el fin de estructurar y promover las investigaciones y acciones llevadas a cabo por la policía y las instituciones judiciales.

En colaboración con el Organismo sobre Delincuencia y Seguridad de la Comunidad del Caribe (CARICOM), EL PACCTO 2.0 contribuyó a la elaboración del CARICOM Cyber Security and Cybercrime Action Plan 2025 (CCSCAP 2025), que es actualmente el marco estratégico regional de referencia en materia de ciberseguridad.

Este plan regional tiene como objetivo concientizar a los estados de la región para fortalecer la cultura de la ciberseguridad, armonizar los marcos legales y regulatorios, desarrollar capacidades humanas y técnicas, adoptar estándares comunes para infraestructuras críticas, mejorar la gestión de los incidentes cibernéticos y fortalecer la cooperación regional e internacional.

En este sentido, el plan identifica claramente a la IA como un factor de transformación de las amenazas debido, en particular, a la automatización de campañas de phishing y de ingeniería social, así como a la producción de contenido ilegal a gran escala.

Al mismo tiempo, el CCSCAP 2025 promueve el uso defensivo y responsable de la IA para fortalecer la ciberresiliencia regional: detección de anomalías, clasificación de incidentes y monitoreo en tiempo real. La Cyber Fusion Unit (CFU) de CARICOM IMPACS, creada en 2024 y ubicada en el Centro Regional de Centralización de la Información (RIFC) en Puerto España, Trinidad y Tobago, se dedica a proteger las infraestructuras críticas de la región, promover la confianza y la cooperación, y a fortalecer la ciberresiliencia global de los Estados miembros de la CARICOM.

El plan también incluye la elaboración de un proyecto de ley modelo sobre la IA a nivel regional, destinado a establecer un marco legal para el uso ético de la IA, limitar el sesgo algorítmico y asegurar los sistemas críticos. En este tema, el programa EL PACCTO desempeñó un papel fundamental, lo que refleja el enfoque integrado que promueve Expertise France.

Actualmente, la proliferación de las capacidades comerciales de intrusión digital (CCIC) constituye un riesgo importante para la estabilidad internacional. Estas tecnologías, utilizadas por ciberdelincuentes, actores estatales o hacktivistas, amplifican las amenazas existentes y plantean grandes desafíos en materia de derechos humanos y Estado de derecho.

El proceso de Pall Mall, que se lanzó como respuesta a este riesgo, reúne a una comunidad internacional multipartita con el fin de explorar las opciones políticas y las nuevas prácticas que permiten hacer frente a la proliferación y el uso irresponsable de las capacidades de intrusión cibernética disponibles en el mercado.

En este contexto, Expertise France garantiza la ejecución operativa y financiera del proyecto Capacity Building for Cybersecurity and AI, financiado por la Unión Europea con 500 000 euros. El proyecto, cuya dimensión multinacional incluye a los Balcanes occidentales, el Sureste de Asia, América Latina y Central, así como el continente africano, tiene por objeto apoyar a los Estados asociados en la estructuración de los marcos jurídicos nacionales para prevenir esos abusos y la interferencia cibernética.
Esta integración cultural de las amenazas cibernéticas abarca tanto a los responsables políticos, como a las autoridades reguladoras y los miembros de la sociedad civil especializada.