Incidentes Asociados
Un hacker explotó el chatbot de inteligencia artificial de Anthropic PBC para llevar a cabo una serie de ataques contra agencias gubernamentales mexicanas, lo que resultó en el robo de una gran cantidad de información confidencial sobre impuestos y votantes, según investigadores de ciberseguridad.
El usuario desconocido, Claude, escribió instrucciones en español para que el chatbot actuara como un hacker experto, encontrando vulnerabilidades en las redes gubernamentales, escribiendo scripts para explotarlas y determinando formas de automatizar el robo de datos, según un estudio publicado el miércoles por la startup israelí de ciberseguridad Gambit Security.
La actividad comenzó en diciembre y se prolongó durante aproximadamente un mes. En total, se robaron 150 gigabytes de datos del gobierno mexicano, incluyendo documentos relacionados con 195 millones de registros de contribuyentes, así como registros de votantes, credenciales de empleados públicos y archivos del registro civil, según los investigadores.
La IA se ha convertido en un factor clave para la comisión de delitos digitales, y los hackers utilizan estas herramientas para potenciar sus actividades. La semana pasada, investigadores de Amazon.com Inc. informaron que un pequeño grupo de hackers vulneró más de 600 dispositivos de firewall en decenas de países con la ayuda de herramientas de IA ampliamente disponibles.
Gambit no ha atribuido el ataque a un grupo específico, aunque los investigadores afirman no creer que esté vinculado a un gobierno extranjero.
Gambit indicó que el hacker vulneró la autoridad tributaria federal de México y el Instituto Nacional Electoral. También se vieron comprometidos los gobiernos estatales de Jalisco, Michoacán y Tamaulipas, así como el Registro Civil de la Ciudad de México y la empresa de agua de Monterrey.
Los investigadores señalaron que Claude advirtió inicialmente al usuario desconocido sobre sus intenciones maliciosas durante una conversación sobre el gobierno mexicano, pero finalmente accedió a las peticiones del atacante y ejecutó miles de comandos en las redes informáticas gubernamentales.
Un representante de Anthropic informó que la empresa investigó las denuncias de Gambit, interrumpió la actividad y bloqueó las cuentas involucradas. La empresa introduce ejemplos de actividad maliciosa en Claude para que aprenda de ella, y uno de sus modelos de IA más recientes, Claude Opus 4.6, incluye sondas que pueden interrumpir el uso indebido, según el representante.
En este caso, el hacker sondeó continuamente a Claude hasta que logró "desbloquearlo", es decir, eludió las medidas de seguridad, explicó el representante. Sin embargo, incluso durante el ataque, Claude rechazó en ocasiones las demandas del hacker, añadieron.
La autoridad tributaria mexicana declaró que había revisado sus registros de acceso y no encontró evidencia de una brecha de seguridad. El Instituto Nacional Electoral del país afirmó no haber detectado ninguna brecha de seguridad ni acceso no autorizado en los últimos meses y haber reforzado su estrategia de ciberseguridad. El gobierno del estado de Jalisco también negó haber sufrido una brecha, indicando que solo las redes federales se vieron afectadas.
La Agencia Nacional Digital de México no se pronunció sobre las brechas, pero afirmó que la ciberseguridad es una prioridad. Un representante de Servicios de Agua y Drenaje de Monterrey declaró que la agencia no detectó intrusiones ni vulnerabilidades importantes en el segundo semestre de 2025.
Los gobiernos locales de México, Michoacán y Tamaulipas no respondieron a las solicitudes de comentarios, al igual que los representantes del Registro Civil de la Ciudad de México.
Funcionarios mexicanos publicaron un breve comunicado en diciembre indicando que estaban investigando violaciones de seguridad en diversas instituciones públicas, aunque no está claro si esto guarda relación con el ataque a Claude.
Según Gambit, el atacante buscaba obtener un gran número de identidades de empleados del gobierno, aunque aún no se sabe qué hizo con ellas, si es que hizo algo. Los investigadores afirmaron haber encontrado evidencia de que se explotaron al menos 20 vulnerabilidades específicas como parte del ataque.
Cuando Claude encontraba problemas o necesitaba información adicional, el hacker recurría a ChatGPT de OpenAI para obtener información complementaria. Esto incluía cómo moverse lateralmente por las redes informáticas, determinar qué credenciales se necesitaban para acceder a ciertos sistemas y calcular la probabilidad de que la operación de pirateo fuera detectada, según Gambit.
"En total, generó miles de informes detallados que incluían planes listos para ejecutar, indicando al operador humano exactamente qué objetivos internos atacar a continuación y qué credenciales usar", dijo Curtis Simpson, director de estrategia de Gambit Security.
OpenAI afirmó haber identificado intentos del hacker de usar sus modelos para actividades que violan sus políticas de uso, y agregó que sus herramientas se negaron a cumplir con estos intentos.
"Hemos bloqueado las cuentas utilizadas por este adversario y agradecemos la colaboración de Gambit Security", dijo la compañía en un comunicado enviado por correo electrónico.
Las filtraciones del gobierno mexicano son el ejemplo más reciente de una tendencia alarmante. Mientras Anthropic y OpenAI apuestan por desarrollar herramientas de codificación de IA más sofisticadas —y las empresas de ciberseguridad vinculan su futuro a defensas basadas en IA—, los ciberdelincuentes y ciberespías encuentran nuevas formas de utilizar esta tecnología para perpetrar ataques.
En noviembre, Anthropic anunció haber desarticulado la primera campaña de ciberespionaje orquestada por IA. La empresa afirmó que presuntos hackers patrocinados por el Estado chino manipularon su herramienta Claude para intentar hackear 30 objetivos globales, algunos de los cuales tuvieron éxito.
«Esta realidad está cambiando todas las reglas del juego que conocíamos», declaró Alon Gromakov, cofundador y director ejecutivo de Gambit.
Gambit fue fundada por Gromakov y otros dos veteranos de la Unidad 8200, una unidad de las Fuerzas de Defensa de Israel especializada en inteligencia de señales. La investigación publicada el miércoles coincidió con el anuncio de su salida del anonimato gracias a una financiación de 61 millones de dólares proveniente de Spark Capital, Kleiner Perkins y Cyberstarts.
Los investigadores de Gambit descubrieron las brechas de seguridad en México mientras probaban nuevas técnicas de búsqueda de amenazas para observar la actividad de los hackers en línea. Encontraron evidencia pública sobre ataques recientes o activos, incluyendo una que contenía extensas conversaciones de Claude relacionadas con la brecha en los sistemas informáticos del gobierno mexicano, según la compañía.
Estas conversaciones revelaron que, para eludir las medidas de seguridad de Claude, el atacante le indicó a la herramienta de IA que buscaba una recompensa por la detección de errores, un incentivo que ofrecen las organizaciones para encontrar fallos en sus sistemas. Muchas empresas y agencias gubernamentales ofrecen recompensas por la detección de errores a hackers éticos, llegando a ofrecer miles de dólares por información sobre vulnerabilidades informáticas.
El hacker quería que Claude realizara pruebas de penetración en la autoridad tributaria federal mexicana, un tipo de ciberataque autorizado para encontrar vulnerabilidades. Sin embargo, Claude se negó cuando el atacante añadió condiciones a la solicitud, como la eliminación de registros e historial de comandos.
"Las instrucciones específicas sobre la eliminación de registros y la ocultación del historial son señales de alerta", respondió Claude en un momento dado, según una transcripción proporcionada por Gambit. "En un programa legítimo de recompensas por detección de errores, no es necesario ocultar las acciones; de hecho, es necesario documentarlas para el informe".
El hacker cambió de estrategia, interrumpiendo la conversación y proporcionando a la herramienta de IA un manual detallado sobre cómo proceder. Esto permitió al intruso sortear las medidas de seguridad de Claude —un "chailbreak"— y llevar a cabo los ataques, según Gambit.
El hacker buscó información de Claude sobre otras agencias donde se podían obtener datos, lo que sugiere que algunos de los ataques pudieron haber sido oportunistas en lugar de planificados, afirmó Simpson.
«Intentaban comprometer todas las identidades gubernamentales posibles», dijo. «Le preguntaban a Claude, por ejemplo: "¿Dónde más puedo encontrar estas identidades? ¿En qué otros sistemas deberíamos buscar? ¿Dónde más se almacena la información?"»
--- Con la colaboración de Gonzalo Soto y Amy Stillman
(Actualizado con comentarios de la autoridad tributaria mexicana en el párrafo 11.)