Incidentes Asociados
Ciberespías chinos utilizaron la herramienta de IA Claude Code de Anthropic para intentar infiltrarse digitalmente en unas 30 empresas y organizaciones gubernamentales de alto perfil. Según un informe publicado el jueves por la empresa de IA, los espías, respaldados por el gobierno, «tuvieron éxito en un número reducido de casos».
La operación, llevada a cabo a mediados de septiembre, tuvo como objetivo a grandes empresas tecnológicas, instituciones financieras, fabricantes de productos químicos y agencias gubernamentales.
El atacante logró que Claude ejecutara componentes individuales de cadenas de ataque.
Si bien un humano seleccionaba los objetivos, "este es el primer caso documentado de IA con capacidad de automatización que logra acceder a objetivos de alto valor confirmados para la recopilación de inteligencia, incluidas importantes corporaciones tecnológicas y agencias gubernamentales", escribieron los analistas de amenazas de Anthropic en un documento de 13 páginas (PDF).
Esto también constituye una prueba más de que los atacantes continúan experimentando con IA para llevar a cabo sus operaciones ofensivas. El incidente también sugiere que los grupos patrocinados por estados con una financiación considerable están mejorando sus técnicas para automatizar ataques.
El proveedor de IA rastrea al grupo patrocinado por el Estado chino responsable de la campaña de espionaje como GTG-1002 y afirma que sus agentes utilizaron el Código Claude y el Protocolo de Contexto de Modelo (MCP) para ejecutar los ataques sin intervención humana en la fase de ejecución táctica.
Un marco de trabajo desarrollado por humanos utilizó Claude para orquestar ataques en múltiples etapas, que posteriormente fueron llevados a cabo por varios subagentes de Claude, cada uno realizando tareas específicas. Estas tareas incluían mapear las superficies de ataque, escanear la infraestructura de las organizaciones, encontrar vulnerabilidades e investigar técnicas de explotación.
Una vez que los subagentes desarrollaban cadenas de exploits y cargas útiles personalizadas, un operador humano dedicaba entre dos y diez minutos a revisar los resultados de las acciones de la IA y a aprobar las explotaciones subsiguientes.
Los subagentes se encargaban entonces de encontrar y validar credenciales, escalar privilegios, moverse lateralmente por la red y acceder a datos confidenciales para luego robarlos. Tras la explotación, el operador humano solo tenía que revisar nuevamente el trabajo de la IA antes de aprobar la exfiltración final de datos.
Según el informe, al presentar estas tareas a Claude como solicitudes técnicas rutinarias mediante instrucciones cuidadosamente elaboradas y perfiles de usuario predefinidos, el atacante logró que Claude ejecutara componentes individuales de cadenas de ataque sin tener acceso al contexto malicioso general.
Tras descubrir los ataques, Anthropic afirma haber iniciado una investigación que le permitió bloquear las cuentas asociadas, mapear el alcance total de la operación, notificar a las entidades afectadas y coordinar con las fuerzas del orden.
Estos ataques representan una escalada significativa con respecto al informe de agosto de la empresa, que documentaba cómo los delincuentes utilizaron a Claude en una operación de extorsión de datos que afectó a 17 organizaciones y en la que los atacantes exigieron rescates de entre 75 000 y 500 000 dólares por los datos robados. Sin embargo, en ese ataque, según se nos informa, «los humanos siguieron muy involucrados dirigiendo las operaciones».
Si bien predijimos que estas capacidades seguirían evolucionando, lo que más nos ha sorprendido es la rapidez con la que lo han hecho a gran escala, según el nuevo análisis de Anthropic.
Sin embargo, hay un pequeño aspecto positivo: Claude sí tuvo alucinaciones durante los ataques y afirmó haber obtenido mejores resultados de los que demostraban las pruebas.
La IA «con frecuencia exageraba los hallazgos y, en ocasiones, fabricaba datos durante las operaciones autónomas», lo que obligaba al operador humano a validar todos los resultados. Estas alucinaciones incluían que Claude afirmara haber obtenido credenciales (lo cual no era cierto) o que identificara descubrimientos críticos que resultaron ser información pública.
Anthropic afirma que estos errores representan «un obstáculo para los ciberataques totalmente autónomos», al menos por ahora.