Incidentes Asociados
Los responsables de seguridad se enfrentan a una nueva clase de amenaza autónoma, ya que Anthropic (https://www.anthropic.com/) detalla la primera campaña de ciberespionaje orquestada por IA.
En un informe publicado esta semana, el equipo de Inteligencia de Amenazas de la compañía describió su intervención para desarticular una sofisticada operación de un grupo patrocinado por el Estado chino —una evaluación con alto grado de confianza— denominada GTG-1002 y detectada a mediados de septiembre de 2025.
La operación tenía como objetivo aproximadamente 30 entidades, entre las que se incluían grandes empresas tecnológicas, instituciones financieras, empresas de fabricación de productos químicos y agencias gubernamentales.
En lugar de que la IA asistiera a los operadores humanos, los atacantes manipularon con éxito el modelo de Código Claude de Anthropic para que funcionara como un agente autónomo y ejecutara la gran mayoría de las operaciones tácticas de forma independiente.
Esto supone un preocupante avance para los CISO, ya que los ciberataques han pasado de ser dirigidos por humanos a un modelo en el que los agentes de IA realizan entre el 80 % y el 90 % del trabajo ofensivo, mientras que los humanos actúan únicamente como supervisores de alto nivel. Anthropic cree que este es el primer caso documentado de un ciberataque a gran escala ejecutado sin una intervención humana sustancial.
El grupo utilizó un sistema de orquestación que asignaba instancias de Claude Code a funcionar como agentes autónomos de pruebas de penetración. Estos agentes de IA fueron dirigidos, como parte de la campaña de espionaje, para realizar reconocimiento, descubrir vulnerabilidades, desarrollar exploits, recopilar credenciales, moverse lateralmente a través de redes y exfiltrar datos. Esto permitió a la IA realizar el reconocimiento en una fracción del tiempo que le habría tomado a un equipo de hackers humanos.
La participación humana se limitó al 10-20 por ciento del esfuerzo total, centrándose principalmente en el inicio de la campaña y en proporcionar autorización en algunos puntos clave de escalamiento. Por ejemplo, los operadores humanos aprobaban la transición del reconocimiento a la explotación activa o autorizaban el alcance final de la exfiltración de datos. Los atacantes eludieron las medidas de seguridad integradas del modelo de IA, entrenadas para evitar comportamientos dañinos. Lo lograron mediante el jailbreak del modelo, engañándolo al dividir los ataques en tareas aparentemente inocentes y adoptando una identidad falsa. Los operadores le hicieron creer a Claude que era un empleado de una empresa legítima de ciberseguridad y que se utilizaba en pruebas defensivas. Esto permitió que la operación se prolongara lo suficiente como para obtener acceso a varios objetivos validados.
La sofisticación técnica del ataque no radicaba en un malware novedoso, sino en su orquestación. El informe señala que el marco se basó principalmente en herramientas de pruebas de penetración de código abierto. Los atacantes utilizaron servidores del Protocolo de Contexto del Modelo (MCP) como interfaz entre la IA y estas herramientas comerciales, lo que permitió a la IA ejecutar comandos, analizar resultados y mantener el estado operativo en múltiples objetivos y sesiones. La IA incluso recibió instrucciones para investigar y escribir su propio código de explotación para la campaña de espionaje.
Si bien la campaña logró vulnerar objetivos de alto valor, la investigación de Anthropic reveló una limitación importante: la IA sufría alucinaciones durante las operaciones ofensivas.
El informe indica que Claude «exageraba con frecuencia los hallazgos y, ocasionalmente, fabricaba datos». Esto se manifestaba cuando la IA afirmaba haber obtenido credenciales que no funcionaban o identificaba descubrimientos que «resultaron ser información pública».
Esta tendencia obligaba a los operadores humanos a validar cuidadosamente todos los resultados, lo que suponía un reto para la eficacia operativa de los atacantes. Según Anthropic, esto «sigue siendo un obstáculo para los ciberataques totalmente autónomos». Para los responsables de seguridad, esto pone de manifiesto una posible debilidad de los ataques impulsados por IA: pueden generar un gran volumen de ruido y falsos positivos que pueden identificarse con una monitorización robusta.
La principal implicación para los líderes empresariales y tecnológicos es que las barreras para llevar a cabo ciberataques sofisticados se han reducido considerablemente. Ahora, grupos con menos recursos pueden ejecutar campañas que antes requerían equipos completos de hackers experimentados.
Este ataque demuestra una capacidad que va más allá del "hacking experimental", donde los humanos mantenían el control absoluto de las operaciones. La campaña GTG-1002 prueba que la IA puede usarse para descubrir y explotar vulnerabilidades de forma autónoma en operaciones reales.
Anthropic, que bloqueó las cuentas y notificó a las autoridades tras una investigación de diez días, argumenta que este desarrollo demuestra la urgente necesidad de una defensa basada en IA. La empresa afirma que "las mismas capacidades que permiten usar Claude en estos ataques también lo hacen esencial para la ciberdefensa". El propio equipo de Inteligencia de Amenazas de la empresa "usó Claude extensivamente para analizar la enorme cantidad de datos generados" durante esta investigación.
Los equipos de seguridad deben partir de la base de que se ha producido un cambio importante en la ciberseguridad. El informe insta a los defensores a "experimentar con la aplicación de la IA para la defensa en áreas como la automatización de SOC, la detección de amenazas, la evaluación de vulnerabilidades y la respuesta a incidentes".
Ha comenzado la contienda entre los ataques impulsados por IA y la defensa basada en IA, y la adaptación proactiva para contrarrestar las nuevas amenazas de espionaje es el único camino viable a seguir.