El modelo crime-as-a-service (CaaS), o crimen como servicio, se ha consolidado como el estándar del mercado clandestino digital, profesionalizando la actividad criminal y reduciendo drásticamente la barrera de entrada para nuevos atacantes.  

Frente a la antigua compraventa puntual de malware en foros de la dark web, hoy los ciberdelincuentes pueden contratar servicios continuados, soporte técnico incluido, actualizaciones periódicas y paneles de control intuitivos. El catálogo criminal incluye ransomware con sistemas de negociación integrados, malware personalizable bajo demanda, campañas de phishing “llave en mano”, infostealers con dashboards de seguimiento en tiempo real e incluso infraestructuras de alojamiento resistentes a la acción policial. 

Se trata de un ecosistema criminal plenamente industrializado donde los pagos recurrentes garantizan ingresos estables a los desarrolladores y operadores, incentivando la mejora constante de las herramientas y la expansión de la oferta. 

En este punto, TrendAI, unidad de negocio enterprise de Trend Micro, líder mundial en ciberseguridad, advierte que todos los modelos de venta de software criminal han evolucionado hacia esquemas de servicio. Incluso el ransomware-as-a-service, que se basa en el reparto de beneficios procedentes del rescate en lugar de una cuota mensual, responde igualmente a una lógica de servicio continuado. 

Sin embargo, desde la perspectiva de las víctimas este cambio de modelo es prácticamente irrelevante. “A la empresa que sufre un incidente no le importa si el atacante ha pagado una suscripción mensual o si el malware ha sido alquilado. Lo único que percibe es el impacto operativo, económico y reputacional del ataque. El crime-as-a-service no cambia el daño, pero sí multiplica la cantidad de actores capaces de causarlo”, asegura David Sancho, investigador sénior de amenazas de TrendAI.  

La transición de los mercados criminales hacia modelos basados en servicios no es un fenómeno nuevo ni una consecuencia directa de la inteligencia artificial. Se trata de una evolución que se ha producido de forma progresiva durante la última década y documentada por la comunidad de ciberseguridad. No obstante, este modelo actúa como un potente dinamizador del ecosistema criminal, reduciendo la barrera de entrada para nuevos atacantes y profesionalizando la ejecución de campañas, lo que se traduce en más ataques y mejor ejecutados. 

Los datos recientes en España reflejan esta realidad. El número de incidentes gestionados por los organismos de respuesta continúa creciendo año tras año. Muestra de ello es que el INCIBE detectó más de 122.000 incidentes de ciberseguridad en 2025, un 26 % más. La proliferación de servicios criminales hace que las fuerzas de seguridad y los equipos de respuesta se enfrenten a un mayor volumen de víctimas, sin que exista una acción específica diferente a la que ya se aplicaba hace diez años: investigar, responder y mitigar daños en un entorno cada vez más industrializado. 

“La clave es entender que el crime-as-a-service no es una amenaza concreta que pueda desactivarse, sino un modelo económico que ha demostrado ser eficaz para el cibercrimen. Mientras siga siendo rentable, seguirá existiendo. Por eso, la única respuesta realista para las organizaciones pasa por asumir este escenario como estructural y reforzar sus capacidades de prevención, detección y respuesta”, concluye el investigador.