Malware con IA en el Bucle: Un Mapa de Referencia de Capacidad-Arquitectura y la Contra-Arquitectura del Defensor

La integración de IA a lo largo del ciclo de vida del malware (reconocimiento, generación de carga útil, C2, persistencia, post-ejecución) es una amenaza observable, no hipotética. Construimos una arquitectura de referencia de cinco etapas, documentamos la mejora de capacidades por etapa con citas de investigación, y proporcionamos una simulación en red de 100 hosts que muestra que el malware aumentado con IA infecta de 3.9 a 6.5 veces más hosts que el tradicional. Un barrido multipostura (día cero/LotL/adaptativo x detector de firmas/conductual/cruz-etapas) revela una inversión en la preferencia del defensor según la postura del atacante: LotL se defiende mejor con firmas que con conducta. El análisis coste-Pareto muestra que pares de 2 detectores dominan el conjunto de 3 detectores. Este trabajo es parte del Programa de Investigación AIACW (Armas Cibernéticas Autónomas con IA), Ola 2 (artículos P10-P20). La Ola 1 (P1-P9) se depositó en foros con revisión por pares en 2026-Q2 (NDSS, ACM CCS, IEEE S&P, USENIX Security, Oxford J. of Cybersecurity, ACM Computing Surveys). La Ola 2 establece el interior empírico. P19 (prueba de integración entre artículos) y P20 (artículo metodológico-meta) proveen validación y documentación a nivel de programa.