Incidentes Asociados
Anthropic informa que un grupo de amenazas patrocinado por el Estado chino, identificado como GTG-1002, llevó a cabo una operación de ciberespionaje automatizada en gran medida mediante el uso indebido del modelo de IA Claude Code de la compañía.
Sin embargo, las afirmaciones de Anthropic generaron de inmediato un escepticismo generalizado. Investigadores de seguridad y expertos en IA calificaron el informe de inventado o acusaron a la compañía de exagerar el incidente.
Coincido con la evaluación de Jeremy Kirk sobre el informe GenAI de Anthropic. Es extraño. Su informe anterior también lo fue —comentó el experto en ciberseguridad Kevin Beaumont en Mastodon—.
El impacto operativo probablemente sea nulo; las detecciones existentes funcionarán con herramientas de código abierto, muy probablemente. La ausencia total de indicadores de compromiso (IoC) sugiere claramente que no quieren ser señalados por ello.
Otros argumentaron que el informe exageraba las capacidades reales de los sistemas de IA actuales.
"Esto de Anthropic es puro marketing. La IA es una gran ventaja, pero no es Skynet; no piensa, no es inteligencia artificial de verdad (eso es un invento de marketing)", publicó el investigador de ciberseguridad Daniel Card (http://x.com/UK_Daniel_Card/status/1989322655846072680).
Gran parte del escepticismo proviene de que Anthropic no ha proporcionado indicadores de compromiso (IOC) detrás de la campaña. Además, BleepingComputer no respondió a sus solicitudes de información técnica sobre los ataques.
Afirman que los ataques fueron automatizados en un 80-90% por IA.
A pesar de las críticas, Anthropic afirma que el incidente representa el primer caso documentado públicamente de intrusión autónoma a gran escala realizada por un modelo de IA.
El ataque, que según Anthropic (http://www.anthropic.com/news/disrupting-AI-espionage) frustró a mediados de septiembre de 2025, utilizó su modelo de Código Claude para atacar a 30 entidades, entre las que se incluyen grandes empresas tecnológicas, instituciones financieras, fabricantes de productos químicos y agencias gubernamentales.
Si bien la empresa afirma que solo un pequeño número de intrusiones tuvo éxito, destaca la operación como la primera de su tipo a esta escala, en la que la IA supuestamente llevó a cabo de forma autónoma casi todas las fases del proceso de ciberespionaje.
«El actor logró lo que creemos que es el primer caso documentado de un ciberataque ejecutado en gran medida sin intervención humana a gran escala: la IA descubrió vulnerabilidades de forma autónoma, las explotó en operaciones reales y, posteriormente, llevó a cabo una amplia gama de actividades posteriores a la explotación», explica Anthropic en su informe (http://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf).
«Lo más significativo es que este es el primer caso documentado de IA con capacidad de análisis que logra acceder con éxito a objetivos de alto valor confirmados para la recopilación de inteligencia, incluidas importantes corporaciones tecnológicas y agencias gubernamentales».
Anthropic informa que los hackers chinos crearon un marco de trabajo que manipulaba a Claude para que actuara como un agente de ciberintrusión autónomo, en lugar de simplemente recibir asesoramiento o usar la herramienta para generar fragmentos de marcos de ataque, como se vio en incidentes anteriores.
El sistema utilizaba a Claude junto con utilidades estándar de pruebas de penetración y una infraestructura basada en el Protocolo de Contexto Modelo (MCP) para escanear, explotar y extraer información sin supervisión humana directa en la mayoría de las tareas.
Los operadores humanos intervenían solo en momentos críticos, como autorizar escalamientos o revisar datos para su exfiltración, lo que Anthropic estima que representaba solo entre el 10 % y el 20 % de la carga de trabajo operativa.
El ataque se llevó a cabo en seis fases distintas, resumidas a continuación:
-
Fase 1: Operadores humanos seleccionaron objetivos de alto valor y utilizaron tácticas de simulación de roles para engañar a Claude, haciéndole creer que realizaba tareas autorizadas de ciberseguridad y eludiendo sus restricciones de seguridad integradas.
-
Fase 2: Claude escaneó de forma autónoma la infraestructura de red de múltiples objetivos, descubrió servicios, analizó mecanismos de autenticación e identificó puntos de acceso vulnerables. Mantuvo contextos operativos separados, lo que permitió realizar ataques paralelos sin supervisión humana.
-
Fase 3: La IA generó cargas útiles personalizadas, realizó pruebas remotas y validó vulnerabilidades. Creó informes detallados para su revisión humana, interviniendo los humanos únicamente para aprobar la escalada a la explotación activa.
-
Fase 4: Claude extrajo datos de autenticación de las configuraciones del sistema, probó el acceso a las credenciales y mapeó los sistemas internos. Navegó de forma independiente por las redes internas, accediendo a API, bases de datos y servicios, mientras que los humanos solo autorizaron las intrusiones más sensibles. - Fase 5: Claude utilizó su acceso para consultar bases de datos, extraer datos confidenciales e identificar información valiosa. Categorizó los hallazgos, creó puertas traseras persistentes y generó informes resumidos, requiriendo aprobación humana únicamente para la exfiltración final de datos.
-
Fase 6: A lo largo de la campaña, Claude documentó cada paso de forma estructurada, incluyendo los activos descubiertos, las credenciales, los métodos de explotación y los datos extraídos. Esto permitió una transferencia fluida entre los equipos de atacantes y garantizó la persistencia a largo plazo en entornos comprometidos.
Anthropic explica además que la campaña se basó más en herramientas de código abierto que en malware a medida, demostrando que la IA puede aprovechar herramientas comerciales disponibles para llevar a cabo ataques efectivos.
Sin embargo, Claude no fue infalible, ya que, en algunos casos, produjo «alucinaciones» no deseadas, falsificó resultados y exageró los hallazgos.
En respuesta a estos abusos, Anthropic bloqueó las cuentas infractoras, mejoró sus capacidades de detección y compartió información con socios para ayudar a desarrollar nuevos métodos de detección de intrusiones impulsadas por IA.