Incidentes Asociados
Anthropic ha publicado un extenso informe sobre lo que describe como el primer caso confirmado de una campaña de ciberespionaje a gran escala, llevada a cabo principalmente por un sistema de inteligencia artificial (IA) en lugar de por hackers humanos.
Esta revelación se produce tras una investigación de diez días en septiembre de 2025, durante la cual los analistas de inteligencia de amenazas de Anthropic identificaron actividad coordinada en aproximadamente treinta organizaciones de todo el mundo. Entre los objetivos se encontraban importantes empresas tecnológicas, instituciones financieras, fabricantes de productos químicos y organismos gubernamentales. Anthropic considera con un alto grado de certeza que la campaña fue operada por un grupo patrocinado por el Estado chino, denominado GTG-1002.
Anthropic es la empresa desarrolladora de la familia Claude de modelos de IA de vanguardia, incluyendo Claude Code, que proporciona capacidades de automatización de software e infraestructura. La compañía afirma que el atacante manipuló Claude Code dentro de un marco de ataque personalizado diseñado para llevar a cabo intrusiones autónomas con una supervisión mínima. Si bien solo un pequeño número de intrusiones tuvo éxito, Anthropic describe el ataque como una escalada significativa en la forma en que los actores sofisticados integran la IA en las operaciones cibernéticas ofensivas.
La compañía señala que la escala y la velocidad de la actividad superaron la capacidad de gestión de los equipos humanos. Los analistas detectaron patrones de solicitudes que se ejecutaban de forma continua y con alta frecuencia, donde la IA generaba tareas de reconocimiento, código de explotación y movimiento lateral que, de otro modo, requerirían trabajo humano coordinado entre varios equipos.
Una investigación revela que la IA automatizó la mayor parte del ciclo de vida de la intrusión
Anthropic afirma que GTG-1002 se basó en tres capacidades emergentes que no estaban disponibles en su forma madura ni siquiera un año antes: mayor inteligencia en el razonamiento del modelo, mayor autonomía de los agentes y acceso a cadenas de herramientas integradas mediante el Protocolo de Contexto del Modelo. Esta combinación permitió al atacante delegar las fases centrales del ataque a Claude Code.
El marco de ataque descompuso las operaciones en miles de pequeñas instrucciones que parecían legítimas por sí solas. Estas instrucciones se asignaron a múltiples instancias de Claude que operaban bajo identidades ficticias. Los atacantes presentaron las tareas como evaluaciones de seguridad internas, lo que les permitió eludir las medidas de seguridad que normalmente bloquean las instrucciones maliciosas. Claude, sin conocer el contexto general, ejecutó estas tareas como parte de su bucle automatizado.
Según el informe, GTG-1002 utilizó Claude Code para reconocimiento, investigación de vulnerabilidades, generación de exploits, obtención de credenciales, escalada de privilegios, movimiento lateral y extracción de datos. Los atacantes solo intervinieron en unos pocos puntos de decisión. Anthropic estima que la IA realizó entre el 80 y el 90 por ciento del trabajo operativo de la campaña, incluyendo miles de solicitudes secuenciales y, en ocasiones, varias en un mismo segundo.
Claude también generó documentación detallada de la intrusión a medida que avanzaba. Esto incluía inventarios estructurados de los sistemas comprometidos, las credenciales recopiladas, los directorios de archivos y los pasos del ataque, lo que proporcionó a los operadores un registro listo para usar en las fases posteriores. Anthropic señala que el sistema pudo reanudar las operaciones incluso después de interrupciones, recuperando su contexto anterior y recreando la cadena de eventos.
La detección pone de manifiesto tanto las limitaciones de capacidad como las deficiencias en las medidas de seguridad actuales
Anthropic afirma que el ataque se descubrió mediante la monitorización del uso anómalo del código de Claude, incluyendo patrones de solicitudes, secuencias de invocación de herramientas y persistencia operativa en múltiples sesiones no relacionadas. Una vez confirmado el carácter malicioso del ataque, la empresa bloqueó las cuentas vinculadas, notificó a las entidades afectadas y comenzó a perfeccionar los modelos de detección para identificar patrones de agentes similares con mayor antelación.
La investigación también reveló limitaciones en la actividad de intrusión impulsada por IA. Claude a veces generaba información incorrecta o inverificable, incluyendo credenciales falsificadas y hallazgos mal clasificados. Anthropic afirma que estas alucinaciones siguen siendo un obstáculo para los ciberataques totalmente autónomos, ya que los operadores aún deben validar los resultados antes de su ejecución. El informe señala que Claude frecuentemente exageraba el valor de la información durante las ejecuciones autónomas, incluso en casos donde los datos identificados como sensibles ya eran públicos.
Al mismo tiempo, Anthropic advierte que estas debilidades no reducen significativamente el perfil de amenaza. Incluso con los errores, el atacante pudo lanzar una campaña en varias etapas a través de numerosas organizaciones con relativamente poca intervención humana, y la automatización redujo significativamente la necesidad de personal altamente capacitado.
La compañía afirma que el incidente impulsó mejoras en los sistemas de clasificación centrados en el uso indebido de ciberseguridad y el desarrollo de nuevos métodos para identificar patrones de ataques distribuidos. También enfatiza que el conjunto de herramientas del atacante no era avanzado, basándose en gran medida en utilidades comunes de código abierto integradas a través del Protocolo de Contexto de Modelo (MCP). La novedad no radicaba en las herramientas en sí, sino en la orquestación, la automatización y el volumen de ejecución.
Implicaciones más amplias para el futuro del mal uso de la IA
Anthropic presenta el caso como evidencia de un cambio más generalizado en el riesgo cibernético provocado por los sistemas de IA con agentes, señalando que actores menos experimentados ahora tienen acceso potencial a técnicas que antes estaban reservadas a grupos con muchos recursos. La empresa compara el caso con hallazgos anteriores de "hackeo basado en la percepción" reportados a mediados de 2025, donde los humanos aún dirigían la mayoría de los pasos de un ataque. La operación de septiembre se diferenció en escala y en la menor frecuencia de supervisión humana.
El informe aborda la cuestión de si el avance de la IA aumenta el riesgo más rápido de lo que se pueden aplicar las medidas de seguridad. Anthropic argumenta que las mismas capacidades utilizadas para el ataque también son fundamentales para la defensa y que restringir el desarrollo dejaría a los defensores sin herramientas comparables. La empresa utilizó ampliamente a Claude durante su propia investigación para analizar el gran volumen de registros y datos de eventos generados durante el incidente.
Anthropic concluye que las organizaciones deberían comenzar a integrar la IA directamente en sus operaciones de seguridad, incluyendo la detección de amenazas, la evaluación de vulnerabilidades y la respuesta a incidentes, e insta a los grupos de la industria y a las agencias gubernamentales a ampliar el intercambio de información sobre amenazas e invertir en controles de seguridad más robustos en todas las plataformas de IA. Como afirma Anthropic en el informe: «Esta campaña demuestra que las barreras para realizar ciberataques sofisticados se han reducido sustancialmente y podemos predecir que seguirán disminuyendo».