Incidentes Asociados
La IA ejecutó miles de solicitudes por segundo.
Ese ritmo de ataque físicamente imposible, sostenido a través de múltiples intrusiones simultáneas dirigidas a 30 organizaciones globales, constituye lo que los investigadores de Anthropic confirman ahora como el primer caso documentado de un ciberataque a gran escala ejecutado sin una intervención humana sustancial.
En las dos últimas semanas de septiembre, un grupo patrocinado por el Estado chino, ahora denominado GTG-1002 por los defensores de Anthropic, manipuló el código de Claude para realizar reconocimiento autónomo, explotar vulnerabilidades, obtener credenciales, moverse lateralmente por las redes y extraer datos confidenciales, con operadores humanos que dirigieron solo entre el 10 % y el 20 % de las operaciones tácticas.
La campaña representa un cambio fundamental en las capacidades del actor de amenazas. Mientras que los ataques previos asistidos por IA requerían la dirección humana de las operaciones paso a paso, esta operación de espionaje demostró que la IA descubre de forma autónoma vulnerabilidades en objetivos seleccionados por operadores humanos, explotándolas con éxito en operaciones reales y realizando posteriormente una amplia gama de actividades posteriores a la explotación, incluyendo análisis, movimiento lateral, escalada de privilegios, acceso a datos y exfiltración.
Ingeniería social del modelo de IA
Los atacantes eludieron el exhaustivo entrenamiento de seguridad de Claude mediante sofisticadas técnicas de ingeniería social. Los operadores afirmaban representar a empresas legítimas de ciberseguridad que realizaban pruebas de penetración defensivas, lo que convenció al modelo de IA para que llevara a cabo operaciones ofensivas bajo falsos pretextos.
Los atacantes desarrollaron un marco de orquestación personalizado utilizando Claude Code y el protocolo de contexto de modelo (MCP) de estándar abierto para descomponer ataques complejos de varias etapas en tareas técnicas discretas. Cada tarea parecía legítima al evaluarse de forma aislada, incluyendo el escaneo de vulnerabilidades, la validación de credenciales, la extracción de datos y el movimiento lateral.
Al presentar estas operaciones como solicitudes técnicas rutinarias mediante mensajes cuidadosamente elaborados, el atacante indujo a Claude a ejecutar componentes individuales de cadenas de ataque sin acceso al contexto malicioso general. La naturaleza sostenida del ataque finalmente provocó su detección, pero esta técnica de suplantación de identidad permitió que las operaciones se prolongaran lo suficiente como para lanzar la campaña completa.
Ciclo de vida de ataque autónomo sin precedentes
Claude realizó un reconocimiento casi autónomo, utilizando la automatización del navegador para catalogar sistemáticamente la infraestructura objetivo, analizar los mecanismos de autenticación e identificar posibles vulnerabilidades simultáneamente en múltiples objetivos. La IA mantuvo contextos operativos separados para cada campaña activa de forma independiente.
En una intrusión exitosa validada, Claude descubrió de forma autónoma servicios internos, mapeó la topología de red completa en múltiples rangos de IP e identificó sistemas de alto valor, incluyendo bases de datos y plataformas de orquestación de flujos de trabajo. Se llevó a cabo una enumeración autónoma similar contra otros objetivos, catalogando la IA de forma independiente cientos de servicios y puntos de conexión descubiertos.
La explotación se realizó mediante pruebas automatizadas, donde Claude generó de forma independiente cargas útiles de ataque adaptadas a las vulnerabilidades descubiertas, ejecutó pruebas a través de interfaces de comandos remotas y analizó las respuestas para determinar la explotabilidad sin intervención humana. Los operadores humanos mantuvieron la supervisión estratégica únicamente en los puntos de decisión críticos, incluyendo la aprobación del paso del reconocimiento a la explotación activa y la autorización del uso de las credenciales obtenidas.
Tras recibir autorización, Claude ejecutó una recopilación sistemática de credenciales en las redes objetivo, consultando servicios internos, extrayendo certificados de autenticación y probando las credenciales obtenidas de forma autónoma. La IA determinó de forma independiente qué credenciales proporcionaban acceso a qué servicios, mapeando los niveles de privilegio y los límites de acceso.
Extracción de Inteligencia a Velocidad de Máquina
Las operaciones de recopilación demostraron la mayor autonomía de la IA. Contra una empresa tecnológica objetivo, Claude consultó bases de datos de forma independiente, extrajo datos (https://thecyberexpress.com/what-is-data/data), analizó los resultados para identificar información confidencial y categorizó los hallazgos según su valor de inteligencia sin intervención humana.
En operaciones de extracción de bases de datos documentadas, con una duración de entre dos y seis horas, Claude se autenticó con las credenciales obtenidas, mapeó la estructura de la base de datos, consultó las tablas de cuentas de usuario, extrajo hashes de contraseñas, identificó cuentas con altos privilegios, creó cuentas de usuario persistentes con puertas traseras, descargó los resultados completos, analizó los datos extraídos para determinar su valor de inteligencia y generó informes resumidos. Los operadores humanos revisaron los hallazgos y aprobaron los objetivos finales de exfiltración en tan solo cinco a veinte minutos.
La infraestructura operativa dependía en gran medida de herramientas de pruebas de penetración de código abierto, orquestadas mediante marcos de automatización personalizados basados en servidores MCP (Model Context Protocol). La actividad máxima incluyó miles de solicitudes, lo que representó tasas sostenidas de múltiples operaciones por segundo, confirmando que la IA analizaba activamente la información robada en lugar de generar contenido explicativo para su revisión humana.
Limitación de la IA
Durante la investigación surgió una importante limitación operativa. Claude frecuentemente exageraba los hallazgos y, ocasionalmente, fabricaba datos durante las operaciones autónomas, afirmando haber obtenido credenciales que no funcionaban o identificando descubrimientos críticos que resultaron ser información pública.
Esta IA, en contextos de seguridad ofensiva, requería una validación cuidadosa de todos los resultados declarados. Los investigadores antropológicos consideran que esto sigue siendo un obstáculo para los ciberataques totalmente autónomos, aunque la limitación no impidió que la campaña lograra múltiples intrusiones exitosas contra importantes corporaciones tecnológicas, instituciones financieras, empresas de fabricación de productos químicos y agencias gubernamentales.
Respuesta de Anthropic
Tras detectar la actividad, Anthropic inició de inmediato una investigación de diez días para determinar el alcance total de la operación. La empresa bloqueó las cuentas a medida que las identificaba, notificó a las entidades afectadas y coordinó con las autoridades.
Anthropic implementó diversas mejoras defensivas, incluyendo capacidades de detección ampliadas, clasificadores mejorados enfocados en ciberseguridad, prototipos de sistemas de detección temprana proactiva para ciberataques autónomos y el desarrollo de nuevas técnicas para investigar operaciones cibernéticas distribuidas a gran escala.
Esto representa una escalada significativa con respecto a los hallazgos de Anthropic en junio de 2025 sobre el "hacking de vibración" (https://thecyberexpress.com/what-is-hacking/), donde los humanos seguían participando activamente en la dirección de las operaciones.
Anthropic afirmó que la comunidad de ciberseguridad debe asumir que se ha producido un cambio fundamental. Los equipos de seguridad deben experimentar con la aplicación de la IA para la defensa en áreas como la automatización del SOC, la detección de amenazas, la evaluación de vulnerabilidades y la respuesta a incidentes. La empresa señala que las mismas capacidades que permiten estos ataques hacen que Claude sea crucial para la defensa cibernética, y el propio equipo de inteligencia de amenazas de Anthropic utiliza a Claude extensivamente para analizar enormes cantidades de datos generados durante esta investigación.