Estamos en un momento decisivo en la ciberseguridad: los modelos de IA se han vuelto realmente funcionales en las operaciones de ciberseguridad, tanto para aspectos positivos como negativos. Esta afirmación se respalda en evaluaciones sistemáticas que indican que las capacidades han crecido significativamente en solo seis meses, siendo ahora posible rastrear ataques cibernéticos reales y observar cómo los actores maliciosos emplean la IA.

A mediados de septiembre de 2025, la empresa Anthropic (creadores de Claude IA) detectó actividad sospechosa que, tras investigaciones posteriores, se reveló como una campaña de espionaje altamente sofisticada. Los atacantes usaron capacidades de la IA en un nivel sin precedentes, utilizándola no solo como consejera, sino también para llevar a cabo los ciberataques de manera directa.

El grupo responsable de esta amenaza —que según la evaluación es un grupo respaldado por el Estado chino— manipuló la herramienta Claude Code para intentar infiltrarse en aproximadamente treinta objetivos globales, logrando el éxito en algunos casos. La operación se centró en grandes empresas tecnológicas, instituciones financieras, empresas del sector químico y agencias gubernamentales. Este representa el primer caso documentado de un ciberataque masivo ejecutado con mínima intervención humana.

Al detectar esta actividad, se inició una investigación para comprender su magnitud y naturaleza. Esta campaña tiene implicaciones profundas para la ciberseguridad en la era de los «agentes» de IA: sistemas que operan de manera autónoma durante largos períodos y que llevan a cabo tareas complejas casi sin intervención humana. Aunque estos agentes son valiosos para la productividad, en manos equivocadas, pueden incrementar notablemente el potencial de ciberataques a gran escala.

Cómo se ejecutó el ciberataque

El ataque se fundamentó en varias características de los modelos de IA que no existían, o estaban en etapas muy tempranas, hace apenas un año:

  • Inteligencia. La capacidad general de los modelos ha aumentado tanto que pueden seguir instrucciones complejas y entender el contexto de maneras que facilitan tareas sofisticadas. Además, sus habilidades específicas —en particular, la programación— se adaptan muy bien para aplicaciones en ciberataques.
  • Autonomía. Los modelos pueden operar como agentes, permitiéndoles ejecutarse en bucles donde toman decisiones autónomas y encadenan tareas con mínima intervención humana.
  • Herramientas. Tienen acceso a una amplia variedad de herramientas de software, a menudo mediante el protocolo estándar abierto Model Context Protocol. Esto les permite buscar en la web, recuperar datos y realizar acciones que antes eran exclusivas de los humanos. En el contexto de ataques cibernéticos, estas herramientas pueden incluir programas para descifrar contraseñas, escáneres de red y otros softwares de seguridad.

El siguiente diagrama ilustra las diferentes fases del ataque, cada una de las cuales requirió los tres desarrollos mencionados:

En la Fase 1, los operadores humanos seleccionaron los objetivos (por ejemplo, la empresa o agencia gubernamental a infiltrarse) y luego desarrollaron un marco de ataque: un sistema diseñado para comprometer de forma autónoma un objetivo con mínima intervención humana. Este marco utilizó Claude Code como herramienta para llevar a cabo operaciones cibernéticas.

Primero, tuvieron que convencer a Claude —entrenado ampliamente para evitar comportamientos dañinos— para que participara en el ataque. Lo lograron a través de un jailbreak, engañándolo para eludir sus medidas de seguridad. Dividieron los ataques en tareas pequeñas y aparentemente inocentes que Claude ejecutaría sin conocer el contexto completo. También le presentaron como un empleado de una empresa legítima de ciberseguridad que estaba realizando pruebas defensivas.

Iniciaron entonces la segunda fase, donde Claude Code inspeccionó los sistemas de la organización objetivo para identificar las bases de datos más valiosas. Claude realizó este reconocimiento en un tiempo mucho menor que un equipo humano. Luego, el sistema presentó un resumen de sus hallazgos a los operadores humanos.

En las siguientes fases, Claude identificó y probó vulnerabilidades en los sistemas, investigando y creando su propio código de explotación. Después, pudo obtener credenciales (nombres de usuario y contraseñas) que le permitieron acceder a información confidencial, organizando los datos según su valor informativo. Identificó cuentas privilegiadas, creó puertas traseras y extrajo información con mínima supervisión humana.

En la fase final, los atacantes usaron a Claude para documentar detalladamente el ataque, generando archivos útiles con las credenciales robadas y sistemas examinados, facilitando así la planificación de las siguientes etapas de las operaciones cibernéticas del actor de amenazas.

En general, el atacante utilizó IA para ejecutar entre el 80% y el 90% de la campaña, requiriendo intervención humana solo ocasionalmente (quizás en 4 a 6 decisiones críticas por ataque). La gran carga de trabajo que asumió la IA habría requerido inmensa cantidad de tiempo para un equipo humano. La IA podía realizar miles de solicitudes por segundo, algo imposible de lograr para hackers humanos.

Aun así, Claude no siempre operaba de manera perfecta. En ocasiones, generaba credenciales erróneas o afirmaba haber extraído información que en realidad era de dominio público. Este sigue siendo un obstáculo para los ciberataques completamente autónomos.

Implicaciones para la ciberseguridad

Las barreras para llevar a cabo ciberataques sofisticados se han reducido drásticamente y seguirán haciéndolo. Con la configuración adecuada, los delincuentes pueden usar sistemas de IA automatizados durante períodos prolongados para realizar el trabajo de equipos completos de hackers: analizar sistemas objetivo, generar códigos de explotación y escanear grandes volúmenes de datos robados con mayor eficiencia que cualquier operador humano. Grupos con menos experiencia y recursos ahora pueden realizar ataques de este tipo a gran escala.

Este ataque representa una escalada en comparación con los hallazgos sobre «hacking basado en la percepción» publicado este verano: en aquellas operaciones, la participación humana era alta, mientras que en este caso, fue significativamente menor, a pesar de la mayor escala del ataque. Aunque solo se tiene conocimiento del uso de Claude, este caso probablemente refleja comportamientos similares en otros modelos avanzados de IA y muestra cómo los ciberdelincuentes están adaptando sus estrategias para aprovechar las capacidades de la IA más sofisticadas.

Esto plantea una pregunta crucial: si los modelos de IA se pueden utilizar indebidamente para ciberataques de tal magnitud, ¿por qué continuar desarrollándolos y lanzándolos? La respuesta es que las mismas capacidades que facilitan el uso de Claude en estos ataques también lo convierten en una herramienta esencial para la ciberdefensa.

Cuando inevitablemente ocurran ciberataques sofisticados, se espera que Claude asista a los profesionales de ciberseguridad para detectar, interrumpir y prepararse para futuros ataques. De hecho, los equipos de Inteligencia de Amenazas han utilizado ampliamente a Claude para analizar la vasta cantidad de datos generados durante esta investigación.

Estamos ante un cambio fundamental en la ciberseguridad. Recomendamos a los equipos de seguridad que exploren el uso de IA en defensa, enfocándose en áreas como la automatización del Centro de Operaciones de Seguridad (SOC), identificación de amenazas, evaluación de vulnerabilidades y respuesta a incidentes.

Igualmente, instamos a los desarrolladores a seguir invirtiendo en medidas de seguridad en sus plataformas de IA para evitar su uso indebido. Sin duda, las técnicas mencionadas anteriormente serán empleadas por muchos más atacantes, lo que hace que el intercambio de información sobre amenazas, la mejora de métodos de detección y el fortalecimiento de controles de seguridad sean aspectos aún más cruciales.

Fuente: Anthropic [PDF Completo]

Con Información de blog.segu-info.com.ar