En septiembre de 2025 se produjo el primer ciberataque masivo documentado en el que una IA actuó de forma prácticamente autónoma, reduciendo la intervención humana a menos de un 10 % de las decisiones críticas.
El informe sobre el incidente, publicado por Anthropic, detalla cómo un grupo de actores estatales respaldados por China consiguió convertir a Claude Code en el cerebro operativo de una campaña de ciberespionaje que afectó a una treintena de organizaciones en todo el mundo, entre ellas grandes empresas tecnológicas, instituciones financieras, compañías químicas y agencias gubernamentales, si bien el éxito fue limitado.
Los ciberatacantes manipularon a Claude para convencerle de que estaba colaborando con un analista de ciberseguridad real que realizaba pruebas de penetración defensivas (red teaming) autorizadas por la propia organización. En lugar de simplemente asesorar a operadores humanos, lograron que la IA funcionase como un agente autónomo realizando operaciones de ciberintrusión. De este modo, la IA tomó decisiones, escribió código, lo probó y lo desplegó. Los operadores humanos solo intervinieron en los momentos de máxima criticidad o cuando necesitaban proporcionar nueva información de contexto, por ejemplo, credenciales robadas en fases previas.
En uno de los casos de éxito, los ciberatacantes indujeron a Claude a descubrir servicios internos, mapear la topología completa de la red en múltiples rangos de IP e identificar sistemas de alto valor, como bases de datos y plataformas de orquestación de flujos de trabajo. La IA catalogó cientos de servicios y endpoints descubiertos. Posteriormente, llevó a cabo una amplia gama de actividades de explotación, análisis, movimiento lateral, escalada de privilegios y acceso a datos hasta culminar en la extracción de información sensible.
Claude generó automáticamente documentación completa de los ciberataques durante todas las fases de la campaña. Registró los servicios descubiertos, las credenciales recopiladas, los datos extraídos, las técnicas de explotación y la progresión completa del ataque.
El método empleado por los ciberatacantes fue simple y a la vez sofisticado. Dividieron cada operación compleja, potencialmente bloqueada por las salvaguardas de Claude, en decenas de microtareas que, individualmente, parecían inofensivas o incluso legítimas. Todo ello se realizó sin activar los filtros de seguridad, porque cada paso individual era razonable dentro del contexto en el que los ciberatacantes habían fabricado.
Conclusión
Anthropic plantea en el informe del incidente una pregunta: «Si los modelos de IA pueden usarse indebidamente para ciberataques a esta escala, ¿por qué seguir desarrollándolos y lanzándolos?». La respuesta es sencilla: «las mismas capacidades que permiten usar Claude en estos ataques también lo convierten en una herramienta crucial para la ciberdefensa».
No se pierda nuestro podcast sobre el artículo
