Desde hace casi quince años mi labor como investigador se ha centrado en entender cómo se manifiestan y evolucionan las amenazas digitales. En este tiempo, hemos pasado de hablar de virus informáticos como algo anecdótico a vivir en un mundo hiperconectado, donde los ciberataques afectan a gobiernos, empresas y ciudadanos por igual. A día de hoy, la ciberdelincuencia se comporta como un ecosistema sofisticado, interconectado y altamente profesionalizado.

En el seno de IMDEA Networks, dirijo diversas líneas de investigación en la intersección entre ciberseguridad, inteligencia artificial y ciencia computacional social. Dos proyectos recientes —COMET y el proyecto de mi Ramón y Cajal (RyC), financiados por la Agencia Estatal de Investigación (AEI)— resumen bien los principales desafíos a los que nos enfrentamos y las formas en las que desde la investigación intentamos responder a ellos.

El proyecto COMET ha sido clave para visualizar cómo operan los ciberdelincuentes en foros clandestinos, muchos de ellos ubicados en la Dark Web. En estos espacios se intercambian herramientas de hacking, información sobre vulnerabilidades y se gestan campañas criminales a gran escala. A través de metodologías avanzadas, hemos podido rastrear patrones de comportamiento, detectar indicadores de compromiso (IoCs) con más de 490 días de antelación a los sistemas de inteligencia tradicionales, y demostrar el reuso de código malicioso entre plataformas como GitHub y foros clandestinos.

Un resultado especialmente significativo fue la creación de una herramienta para minar contenidos maliciosos en la red Tor. Esta herramienta permitió identificar y estudiar comunidades involucradas en actividades ilícitas como la explotación infantil o el tráfico de malware. Parte de estos hallazgos fueron compartidos en foros de seguridad como C1b3rWall o TIFS, donde trabajamos codo a codo con cuerpos policiales para transformar datos en inteligencia operativa.

La línea de investigación RyC, en curso actualmente, va un paso más allá al adentrarse en los mercados clandestinos desde una perspectiva forense del desarrollo de software. Lo que estamos observando es que el malware actual ya no es un producto artesanal: es una mercancía que se fabrica, distribuye y mantiene de forma muy parecida al software legítimo. Analizando estas plataformas, hemos podido identificar como malware reúsa código que se encuentra público en plataformas como GitHub o StackOverflow, incluyendo código usado para minar cryptomonedas de forma ilícita. En este contexto, uno de mis estudios indentificó más de 2.000 campañas activas de criptominería maliciosa, algunas de ellas con beneficios que superan los 57 millones de dólares.

Otra amenaza creciente y particularmente insidiosa son las estafas que explotan los lazos familiares, como las recientemente analizadas en nuestro artículo en Usenix 2025 sobre los llamados “Hi mum and dad scams”. En estos fraudes, los criminales suplantan la identidad de un hijo o hija para solicitar dinero con carácter urgente. Nuestra investigación ha demostrado cómo se automatizan estos engaños y se difunden de forma masiva a través de plataformas de mensajería, afectando especialmente a personas mayores o tecnológicamente vulnerables.

El impacto de estas amenazas no se limita al plano económico. Cada vez más, las redes sociales se han convertido en caldo de cultivo para la desinformación, el discurso de odio y la radicalización. En plataformas fringe como 4chan, hemos observado cómo se generan echo chambers donde la toxicidad se retroalimenta y se difunden narrativas violentas con consecuencias reales. Estudiando estas comunidades desde dentro, hemos detectado patrones lingüísticos y visuales que permiten trazar el tipo de contenido, los actores implicados y los momentos de mayor actividad.

La radicalización no ocurre de forma espontánea. Requiere de un entorno propicio, algoritmos que prioricen contenido extremo, y comunidades donde se normaliza el odio. Con herramientas como las que desarrollamos a lo largo de nuestra investigación, buscamos detectar lenguaje sesgado y contenido gráfico dañino incluso cuando se presenta de forma críptica o ambigua, algo habitual en estos espacios.

Los riesgos digitales del siglo XXI no se pueden abordar con soluciones del siglo XX. Necesitamos enfoques multidisciplinares que combinen análisis técnico, comprensión del comportamiento humano y colaboración internacional. Proyectos como COMET y RyC muestran que la investigación puntera no solo tiene un papel en la detección de amenazas, sino también en su prevención y mitigación.

Nuestro trabajo en IMDEA Networks no es solo teórico o técnico: es una forma de contribuir con fundamentos, métodos, y herramientas a una Internet más segura, donde el conocimiento se traduzca en protección real para quienes más lo necesitan.