Incidentes Asociados
Actores vinculados a China utilizaron la IA de Anthropic para automatizar y ejecutar ciberataques en una sofisticada campaña de espionaje en 2025, empleando herramientas de inteligencia artificial avanzadas.
En septiembre de 2025, actores de amenazas vinculados a China utilizaron la IA de Anthropic para automatizar y ejecutar ciberataques en una sofisticada campaña de espionaje. Los ciberespías aprovecharon las capacidades avanzadas de inteligencia artificial en lugar de utilizarla únicamente como guía.
Los atacantes abusaron de las capacidades de inteligencia artificial de la IA para ejecutar ciberataques de forma autónoma. Según los expertos, esto representa un cambio sin precedentes: de la IA como asesora a la IA como operadora. Un grupo patrocinado por el Estado chino utilizó el Código Claude para atacar a unas 30 organizaciones globales, logrando su objetivo en algunos casos en sectores como tecnología, finanzas, química y gobierno. Probablemente se trate del primer ataque a gran escala con mínima intervención humana.
"A mediados de septiembre de 2025, detectamos actividad sospechosa que, tras una investigación posterior, se determinó que era una campaña de espionaje altamente sofisticada". Según el informe publicado por Anthropic (https://www.anthropic.com/news/disrupting-AI-espionage): «Tras la detección, se bloquearon las cuentas, se notificó a las víctimas y se contactó con las autoridades. El caso pone de relieve los crecientes riesgos que representan los agentes de IA autónomos y la necesidad de reforzar las medidas de detección y defensa».
El ataque explotó tres capacidades de IA recientemente desarrolladas. En primer lugar, una mayor inteligencia permitió a los modelos seguir instrucciones complejas y utilizar habilidades avanzadas, como la programación, para realizar tareas maliciosas. En segundo lugar, una mayor autonomía permitió a los agentes de IA actuar de forma autónoma, encadenando acciones y tomando decisiones con una mínima intervención humana. En tercer lugar, un amplio acceso a herramientas, mediante estándares como MCP, permitió a los modelos utilizar búsquedas web, recuperación de datos, programas para descifrar contraseñas y escáneres de red. Cada fase del ataque se basó en esta combinación de inteligencia, autonomía e integración de herramientas.
Los ciberespías seleccionaron objetivos y crearon un marco de ataque autónomo utilizando Claude Code. Tras vulnerar Claude disfrazando tareas como benignas y presentando la actividad como pruebas defensivas, lanzaron la Fase 2. Claude mapeó rápidamente los sistemas, identificó bases de datos de alto valor e informó de sus hallazgos. A continuación, investigó y desarrolló exploits, recopiló credenciales, creó puertas traseras y extrajo datos con una mínima supervisión humana. Claude incluso documentó la operación. En general, la IA ejecutó entre el 80 % y el 90 % de la campaña, procesando miles de solicitudes a velocidades imposibles para los humanos, aunque las alucinaciones ocasionales limitaron su plena autonomía.
Este ataque supone una escalada con respecto a los anteriores ataques de «intrusión basada en la percepción», con mucha menos intervención humana y operaciones a gran escala impulsadas por IA. Sin embargo, las mismas capacidades que permiten su mal uso hacen que la IA sea vital para la defensa: Claude se utilizó para analizar los datos de la investigación. La ciberseguridad está cambiando; los equipos deberían adoptar la IA para el trabajo de los centros de operaciones de seguridad (SOC), la detección y la respuesta, al tiempo que mejoran las medidas de seguridad, el intercambio de información sobre amenazas y la monitorización.
«Las barreras para realizar ciberataques sofisticados se han reducido sustancialmente, y prevemos que seguirán haciéndolo. Con la configuración adecuada, los ciberdelincuentes ahora pueden utilizar sistemas de IA automatizados durante largos periodos para realizar el trabajo de equipos completos de hackers experimentados: analizar sistemas objetivo, generar código de explotación y escanear grandes conjuntos de datos de información robada con mayor eficiencia que cualquier operador humano», concluye el informe. «Grupos con menos experiencia y recursos ahora pueden potencialmente realizar ataques a gran escala de esta naturaleza».
Muchos expertos se muestran escépticos ante el informe de Anthropic, entre ellos el reconocido Kevin Beaumont. A continuación, la declaración que publicó en LinkedIn:
«Estoy en una etapa muy extraña de mi carrera —un mal momento— en la que tengo que ir constantemente a líderes prominentes de la industria y decirles: "Se dan cuenta de que ese artículo que acaban de compartir sobre que el 90 % del ransomware proviene de GenAI es falso".»
Estoy completamente seguro de que muchos de ellos piensan que no sé de lo que hablo, porque otros miles de líderes de la industria ya les han advertido sobre el ransomware GenAI.
Es realmente interesante observar cómo China ha orquestado una campaña de pánico, un verdadero rumor.
Resulta sin duda interesante ver cómo organizaciones muy grandes y confiables difunden auténticas tonterías, y figuras clave de la industria las repiten, además de encuestas a CISO que afirman que el 70 % del ransomware proviene de IA (spoiler: no es cierto, probablemente no se han enfrentado a un solo caso). (Incidente de ransomware en sí mismo).
Gran parte se trata de mantener los presupuestos de los CISO y generar ventas. Pero también hay mucha gente que no se da cuenta de lo que está pasando, y no se basa en pruebas. Me da vergüenza.
Por cierto, si se preguntan qué tiene que ver todo esto con China: China sabe que Occidente está obsesionado con las amenazas de la IA. Es una forma muy fácil de distraer a países enteros.
Hay una razón por la que siguen apareciendo cosas del tipo "¡Oh, no!, un actor malicioso ha creado un malware GenAI pésimo usando ChatGPT", en lugar de herramientas de IA alojadas localmente.
Tienen un puntero láser, y ustedes son sus gatos, mientras les quitan la comida. Quieren llamar la atención.
Por cierto, si no me creen, el material generado en ese "éxito de taquilla" del WSJ tenía canciones chinas en formato .WAV incrustadas, y chistes. Y ni siquiera funcionaba bien. Y todo el mundo salió corriendo despavorido. Actúan sin información alguna.
Personalmente, creo que merecen un aplauso, ya que están dejando a todos boquiabiertos. Esta es la mejor manera de asegurarse de que las organizaciones no establezcan bases de seguridad sólidas.