Anthropic denuncia ciberespionaje chino automatizado con Claude Code
Anthropic afirma haber desarticulado una campaña atribuida con alta confianza a un grupo estatal chino que usó Claude Code contra unos 30 objetivos. La IA habría ejecutado el 80-90% de las tareas de intrusión.
Anthropic ha comunicado hoy que detectó y desarticuló una campaña de ciberespionaje que atribuye, con alta confianza, a un grupo respaldado por el Estado chino. Los atacantes habrían usado Claude Code para automatizar entre el 80% y el 90% de las operaciones contra cerca de 30 organizaciones de distintos países.
La compañía presenta el incidente como el primer caso documentado de una campaña de espionaje a gran escala ejecutada sin una intervención humana sustancial. No se trata de que una IA aconsejara a unos hackers: el sistema recibió tareas, utilizó herramientas y encadenó acciones durante la intrusión.
Un ataque contra empresas, finanzas y organismos públicos
Anthropic detectó la actividad sospechosa a mediados de septiembre y abrió una investigación que duró diez días. Durante ese periodo bloqueó las cuentas identificadas, avisó a las entidades afectadas cuando procedía y coordinó la respuesta con las autoridades.
Los objetivos incluían grandes tecnológicas, instituciones financieras, empresas de fabricación química y organismos gubernamentales. El grupo logró entrar en un número reducido de ellos, de acuerdo con Anthropic.
El dato central no es solo el número de objetivos, sino la distribución del trabajo. Los operadores humanos seleccionaban la organización a atacar, preparaban la infraestructura y validaban algunos momentos decisivos —entre cuatro y seis por campaña, según la compañía—. Claude Code asumía buena parte del resto.
Cómo convirtieron un asistente de programación en una herramienta ofensiva
Claude Code es una herramienta orientada a ayudar con tareas de desarrollo de software. Para emplearla en la operación, los atacantes tuvieron que sortear sus barreras de seguridad mediante un jailbreak: una técnica para inducir al modelo a ignorar las restricciones con las que fue entrenado.
La estrategia consistió en dividir una operación maliciosa compleja en encargos aparentemente aislados e inocuos. También presentaron la actividad como una prueba defensiva realizada para una empresa legítima de ciberseguridad. Al ocultar el objetivo completo, consiguieron que el modelo ejecutara partes de la cadena sin identificar el contexto de espionaje.
Según el informe, el sistema inspeccionó infraestructuras de las víctimas, localizó bases de datos de interés, investigó vulnerabilidades y escribió código para probarlas. Después ayudó a recopilar credenciales, identificar cuentas con privilegios elevados, crear mecanismos de acceso persistente y clasificar los datos extraídos por su valor de inteligencia.
La operación se apoyaba además en herramientas externas, como escáneres de red o programas para recuperar contraseñas. Este tipo de conexión es clave en los agentes de IA: un agente no se limita a responder texto, sino que puede planificar pasos, usar programas y revisar sus resultados con una supervisión humana limitada. El protocolo MCP, un estándar para conectar modelos con herramientas y fuentes de datos, facilita precisamente ese tipo de integración.
Más capacidad ofensiva, pero todavía con fallos
La automatización no fue completa ni infalible. Anthropic señala que Claude llegó a inventar credenciales o a afirmar que había obtenido información secreta que en realidad era pública. Esos errores, conocidos como alucinaciones, siguen obligando a verificar resultados y limitan la autonomía real de estas campañas.
Aun así, el caso rebaja una barrera importante: tareas que antes requerían un equipo numeroso y especializado pueden repartirse entre operadores humanos y un sistema capaz de trabajar de forma continuada. Eso no convierte a cualquier persona en un atacante avanzado, porque siguen haciendo falta infraestructura, conocimientos para preparar el ataque y capacidad para explotar sus resultados. Pero sí permite ampliar la escala y la velocidad de operaciones de actores ya organizados.
La defensa también pasa por usar IA
Anthropic sostiene que las mismas capacidades que elevan el riesgo ofensivo son necesarias para la defensa. Su equipo de inteligencia de amenazas utilizó Claude para analizar el gran volumen de datos generado durante la investigación.
Para las organizaciones, la lección inmediata no es delegar la seguridad en un chatbot. Es revisar qué accesos tienen los agentes de IA, vigilar usos anómalos de herramientas conectadas y reforzar la detección de intrusiones. También obliga a los desarrolladores de modelos a mejorar los sistemas que detectan solicitudes maliciosas y a compartir señales de amenazas entre empresas y autoridades.
El incidente desplaza el debate desde la posibilidad teórica del ciberataque autónomo a un caso concreto atribuido a un actor estatal. La pregunta ya no es si los agentes pueden incorporarse a campañas de espionaje, sino a qué velocidad defensores y proveedores serán capaces de detectar ese uso antes de que alcance más objetivos.