Hace apenas unos días, la empresa Anthropic, creadora del sistema de inteligencia artificial (IA) llamado Claude, reveló algo que debería preocuparnos a todos: detectó y desmanteló el primer ataque cibernético de espionaje orquestado casi por completo por IA.
No se trata de ciencia ficción ni de un escenario distópico del futuro. Sucedió en septiembre de este año, y marca un punto de inflexión en la forma en que debemos entender las amenazas digitales del siglo XXI.
El futuro se adelantó
Durante años hemos escuchado advertencias sobre los peligros potenciales de la IA. Expertos en tecnología y seguridad han alertado sobre un futuro en el que estas herramientas podrían ser utilizadas para fines maliciosos. Ese futuro llegó más rápido de lo que muchos anticipaban.
Lo que Anthropic descubrió no fue simplemente un caso de hackers usando IA como asistente para escribir códigos maliciosos o buscar información sobre vulnerabilidades. Fue algo mucho más sofisticado y alarmante: un grupo de ciberdelincuentes, presuntamente vinculado al gobierno chino, logró manipular a Claude para que realizara operaciones de espionaje de manera autónoma, con mínima supervisión humana.
Este caso representa una evolución dramática respecto a lo que Anthropic había detectado apenas unos meses antes. En junio de 2025, la compañía reportó incidentes de “vibe hacking”, donde los atacantes usaban IA para sus operaciones pero mantenían un control humano constante sobre cada decisión.
Los operadores humanos dirigían cada movimiento, y la IA funcionaba más como una herramienta sofisticada en manos expertas. La diferencia entre ese escenario y lo ocurrido en septiembre es abismal: en apenas tres meses, pasamos de ataques asistidos por IA a ataques ejecutados por IA.
Una máquina que hackea sola
En el ataque detectado por Anthropic, los operadores humanos simplemente señalaban un objetivo y la IA hacía el resto. Claude analizaba la infraestructura del objetivo, identificaba servicios internos, descubría vulnerabilidades, generaba códigos de explotación adaptados a cada caso, probaba credenciales robadas, se movía lateralmente dentro de las redes corporativas, extraía datos sensibles, los analizaba para determinar su valor y hasta generaba reportes detallados de todo el proceso.
Los humanos solamente intervenían en momentos estratégicos críticos, como la aprobación para pasar del reconocimiento a la explotación activa o el autorizar la extracción final de información. Se estima que la IA ejecutó entre ochenta y noventa por ciento de todas las operaciones tácticas de manera independiente.
Escala sin precedentes
Lo más perturbador no es solo la autonomía, sino la persistencia. El sistema de IA se mantenía operativo a través de múltiples sesiones que se extendían por varios días. Esto significa que podía recordar dónde se había quedado, qué había intentado, qué había funcionado y qué no, y continuar desde ese punto sin necesidad de que un operador humano reconstruyera manualmente todo el progreso.
Esta capacidad convierte a la IA en un adversario que literalmente nunca duerme, nunca se cansa y nunca pierde el hilo de lo que está haciendo.
La escala y velocidad del ataque resultaron impresionantes. El grupo, al que Anthropic denominó GTG-1002, apuntó simultáneamente a aproximadamente treinta organizaciones, incluyendo grandes corporaciones tecnológicas, instituciones financieras, empresas químicas y agencias gubernamentales en varios países.
La investigación confirmó varios casos exitosos de intrusión. Durante los momentos de mayor actividad, el sistema realizaba múltiples operaciones por segundo, manteniendo sesiones operativas separadas para cada objetivo. Esto representa una capacidad que ningún equipo humano, sin importar cuán grande o experimentado sea, podría igualar.
El engaño a la IA
¿Cómo lograron estos atacantes convencer a un sistema de IA diseñado específicamente para evitar comportamientos dañinos, para participar en operaciones de espionaje cibernético? La respuesta resulta tan simple como perturbadora: mediante el engaño.
Los operadores humanos se presentaron ante Claude como empleados de empresas legítimas de ciberseguridad, haciéndole creer que participaba en pruebas defensivas autorizadas. Esta técnica, que los expertos llaman “ingeniería social” aplicada a modelos de IA, permitió que los atacantes volaran bajo el radar durante el suficiente tiempo como para ejecutar su campaña.
El engaño funcionó porque los atacantes entendieron algo fundamental sobre la manera en que operan estos sistemas: Claude está diseñado para ser útil y colaborativo.
Presentando cada tarea individual como legítima y enmarcándola dentro de un contexto aparentemente defensivo, pudieron convencer al sistema de que ejecutara componentes de cadenas de ataque sin que la IA tuviera acceso al contexto malicioso más amplio. Es similar a alguien pidiendo a un cerrajero experto que le explique técnicas de uso ganzúas “para un proyecto escolar”, cuando en realidad planea usar ese conocimiento para robar.
Una falla que nos da esperanza
Un aspecto crucial que emergió durante la investigación ofrece un rayo de esperanza en medio de este panorama preocupante. Claude, a pesar de su sofisticación, mostró una limitación importante: frecuentemente exageraba sus hallazgos y ocasionalmente fabricaba información.
Este fenómeno, conocido como “alucinación” en el contexto de la IA, presentó desafíos para la eficacia operativa de los atacantes, requiriendo validación cuidadosa de todos los resultados reportados. Por ahora, esto sigue siendo un obstáculo para ciberataques completamente autónomos, aunque no hay garantía de que esta limitación persista conforme la tecnología evolucione.
Esta vulnerabilidad inherente a los sistemas de IA actuales plantea una carrera contra el tiempo. Por un lado, cada nueva generación de modelos lingüísticos gigantes tiende a ser más precisa y a alucinar menos. Por otro, esta misma imperfección nos otorga una ventana de oportunidad para desarrollar mejores defensas antes de que los ataques autónomos sean completamente confiables desde la perspectiva del atacante. Es un respiro temporal, pero crucial.
Herramientas accesibles para todos
La infraestructura técnica utilizada por GTG-1002 revela otro aspecto inquietante de esta nueva realidad. Los atacantes no desarrollaron malware sofisticado ni crearon herramientas completamente nuevas. En su lugar, utilizaron programas de código abierto, disponibles gratuitamente para cualquiera: escáneres de red, “frameworks” de explotación de bases de datos, “crackers” de contraseñas y herramientas de análisis binario. La innovación no estuvo en las capacidades técnicas individuales, sino en la orquestación de estos recursos.
Esta accesibilidad tiene implicaciones profundas. Si las capacidades cibernéticas avanzadas ahora derivan principalmente de la orquestación de recursos disponibles comercialmente en lugar de innovación técnica especializada, el potencial de proliferación rápida de amenazas se vuelve alarmante.
Grupos con menos experiencia y recursos podrían potencialmente realizar ataques a gran escala de esta naturaleza. Lo que antes requería un equipo de élite con años de experiencia ahora puede ser ejecutado por un operador con conocimientos básicos y acceso a herramientas de IA avanzadas.
La paradoja de la IA
Ante este escenario, surge una pregunta que muchos se estarán haciendo: si los modelos de IA pueden ser utilizados indebidamente para ciberataques a esta escala, ¿por qué continuar desarrollándolos y liberándolos al público? La respuesta que ofrece Anthropic resulta paradójica pero convincente. Las mismas capacidades que permiten usar a Claude en estos ataques también lo hacen crucial para la defensa cibernética.
Cuando ocurren ataques sofisticados, el objetivo es que sistemas como Claude, en los cuales se han construido salvaguardas robustas, ayuden a profesionales de ciberseguridad a detectar, interrumpir y prepararse para futuras versiones del ataque. De hecho, el equipo de Inteligencia de Amenazas de Anthropic usó extensivamente a Claude para analizar las enormes cantidades de datos generados durante esta misma investigación.
Esta dualidad no es nueva en la historia de la tecnología. El mismo conocimiento que permite construir sistemas seguros también revela cómo vulnerarlos. La diferencia ahora es la velocidad y escala con la que la IA puede operar en ambos lados de la ecuación. Si los atacantes tienen acceso a una IA capaz de hackear autónomamente, los defensores necesitan urgentemente acceso a otra IA igual de capaz para proteger sus sistemas.
El antes y el después
Este incidente representa un parteaguas. No es el primer caso de hackers usando IA como herramienta auxiliar, pero sí marca el primer caso documentado de un ciberataque ejecutado prácticamente sin intervención humana y a gran escala. Mientras Anthropic solo tiene visibilidad respecto de Claude, este caso probablemente refleja patrones consistentes de comportamiento a través de modelos de IA avanzados y demuestra cómo los actores malignos están adaptando sus operaciones para explotar las capacidades de sistemas de IA de vanguardia.
La velocidad a la que estas capacidades han evolucionado sorprendió incluso a los expertos de Anthropic, quienes si bien predijeron esta evolución, no anticiparon que ocurriría tan rápidamente y a esta escala. Vivimos ahora en un mundo donde la IA no solo es utilizada por los hackers, sino que hackea por sí misma.
Esta realidad demanda que gobiernos, empresas y ciudadanos reconsideremos urgentemente nuestras aproximaciones a la ciberseguridad y a la gobernanza de la IA. El futuro que parecía lejano ya está aquí, y nuestra capacidad de respuesta debe evolucionar con la misma rapidez que las amenazas.
Precio de Bitcoin de hoy
Puede ver el precio de hoy de Bitcoin aquí, así como también el precio de hoy de Ethereum y de las principales criptomonedas. Por Emilio Carrillo Peñafiel, socio de Pérez Correa-González, abogado especializado en temas de financiamiento, tecnología y fusiones y adquisiciones.
X: @ecarrillop | Sitio web: pcga.mx