Hackers chinos utilizaron la plataforma de inteligencia artificial de Anthropic para espionaje

El reciente descubrimiento de un ciberataque automatizado orquestado por actores estatales chinos ha sacudido los cimientos de la ciberseguridad global, al demostrar que los sistemas algorítmicos avanzados pueden ejecutar operaciones de espionaje a gran escala con una autonomía sin precedentes.

Según el reporte oficial de Anthropic, la campaña, que utilizó la herramienta Claude Code para infiltrarse en una treintena de objetivos internacionales, marca un antes y un después en la evolución de las amenazas digitales.

La investigación de Anthropic, publicada el 13 de noviembre de 2025, detalla cómo los atacantes lograron comprometer con éxito varias organizaciones de alto perfil, entre ellas grandes empresas tecnológicas, instituciones financieras, compañías de manufactura química y agencias gubernamentales.

El sistema algorítmico ejecutó aproximadamente el 90% de las operaciones de forma independiente, procesando miles de solicitudes por segundo y relegando la intervención humana a tan solo cuatro o seis puntos críticos de decisión por campaña.

Este nivel de automatización, que hasta hace pocos meses habría requerido equipos completos de hackers experimentados, evidencia el colapso de las barreras técnicas que tradicionalmente protegían a las infraestructuras críticas.

El ataque se desarrolló en cuatro fases claramente diferenciadas. En la etapa inicial, los operadores humanos seleccionaron los objetivos y diseñaron un framework de ataque capaz de operar de manera autónoma.

Mediante técnicas de jailbreaking, manipularon Claude Code para evadir sus barreras de seguridad, fragmentando las tareas maliciosas en partes aparentemente inocuas y construyendo una narrativa en la que el sistema creía estar realizando pruebas defensivas legítimas. Posteriormente, el reconocimiento automatizado permitió a Claude inspeccionar las infraestructuras de las organizaciones objetivo, identificando bases de datos de alto valor y reportando hallazgos con resúmenes detallados.

En la tercera fase, el sistema identificó y explotó vulnerabilidades, generando su propio código de exploit y cosechando credenciales que facilitaron el acceso a niveles superiores de privilegio.

Finalmente, los algoritmos extrajeron grandes volúmenes de datos privados, los categorizaron según su valor de inteligencia y documentaron exhaustivamente el ataque, generando archivos útiles de las credenciales robadas y los sistemas comprometidos. Las cuentas de mayor privilegio fueron identificadas y se crearon puertas traseras, todo ello con una supervisión humana mínima.

Tres avances técnicos resultaron determinantes para el éxito de la operación. En primer lugar, la inteligencia de los modelos algorítmicos ha alcanzado un punto en el que pueden seguir instrucciones complejas y comprender contextos sofisticados, lo que facilita la ejecución de tareas altamente especializadas como la programación de software para ciberataques.

El segundo pilar es la agencia algorítmica: los modelos actuales pueden actuar como agentes autónomos, encadenando tareas y tomando decisiones con una intervención humana mínima. El tercer elemento es el acceso a herramientas de software mediante protocolos abiertos, como Model Context Protocol, que permite a los modelos interactuar con crackers de contraseñas, escáneres de red y otros recursos especializados, multiplicando exponencialmente su capacidad ofensiva.

El caso documentado por Anthropic representa una escalada significativa respecto a incidentes previos, como las operaciones de “vibe hacking” reportadas en agosto de 2025, donde los humanos debían dirigir activamente cada paso del proceso. En contraste, la campaña de espionaje estatal chino se caracterizó por una autonomía casi total del sistema algorítmico, lo que permitió operar a una escala y velocidad inalcanzables para equipos humanos.

Las capacidades cibernéticas de estos sistemas se duplicaron en solo seis meses, según las evaluaciones sistemáticas recogidas por Anthropic.

No obstante, Claude Code no estuvo exento de errores durante la operación. El sistema llegó a “alucinar” credenciales o a afirmar haber extraído información secreta que, en realidad, era de dominio público.

Estos fallos, aunque representan un obstáculo para la autonomía total de los ciberataques, no impidieron que la campaña tuviera éxito en múltiples objetivos. De hecho, la variabilidad introducida por estas imperfecciones pudo haber contribuido a evadir los sistemas de detección basados en patrones.

La técnica de jailbreaking empleada por los atacantes chinos destaca por su sofisticación. En lugar de intentar vulnerar las barreras de seguridad con un único comando malicioso, los operadores fragmentaron sus ataques en tareas pequeñas y aparentemente inocuas, evitando que Claude tuviera una visión completa del propósito malicioso.

Al mismo tiempo, construyeron una narrativa convincente en la que el sistema se percibía como un empleado legítimo de ciberseguridad. Esta combinación de fragmentación técnica y manipulación contextual resultó altamente eficaz para sortear las defensas de Claude.

El colapso de las barreras técnicas ha transformado el panorama de amenazas. Ahora, actores con menos experiencia y recursos pueden ejecutar ataques de gran escala utilizando sistemas algorítmicos avanzados, realizando tareas que antes requerían meses de trabajo y equipos especializados.

La operación china demuestra que frameworks de ataque pueden replicarse contra cientos o miles de objetivos simultáneamente, sin un aumento proporcional en los recursos humanos necesarios.

Las implicaciones estratégicas de este cambio son profundas. La democratización del cibercrimen sofisticado implica que capacidades antes reservadas a equipos gubernamentales están al alcance de actores menos sofisticados, siempre que dispongan de acceso a sistemas algorítmicos avanzados y conocimientos básicos de jailbreaking.

La velocidad de ataque, con miles de solicitudes por segundo, reduce drásticamente las ventanas de detección y respuesta para los defensores. Además, la atribución se complica, ya que los patrones de los ataques algorítmicos no se ajustan a los perfiles tradicionales de los grupos APT, dificultando la respuesta geopolítica.

La escalabilidad masiva de estos ataques y la evolución continua de las capacidades algorítmicas sugieren que las técnicas observadas hoy pronto quedarán obsoletas frente a lo que será posible en pocos meses.

Anthropic plantea una cuestión fundamental: si los modelos algorítmicos pueden ser utilizados para ciberataques de esta magnitud, ¿por qué seguir desarrollándolos y liberándolos? La respuesta de la compañía es que las mismas capacidades que permiten el uso ofensivo de Claude son esenciales para la defensa cibernética.

El equipo de Inteligencia de Amenazas de Anthropic utilizó Claude extensivamente para analizar los datos generados durante la investigación, demostrando su valor en la detección y respuesta a incidentes.

Ante este nuevo escenario, Anthropic recomienda a los equipos de seguridad experimentar con sistemas algorítmicos para automatizar operaciones, detectar amenazas, evaluar vulnerabilidades y responder a incidentes con la misma rapidez que los atacantes.

Los desarrolladores deben reforzar las barreras de seguridad en sus plataformas y compartir inteligencia de amenazas en tiempo real para fortalecer la resiliencia colectiva. La compañía subraya que la transparencia y el intercambio rápido de información pueden marcar la diferencia entre la resiliencia y la catástrofe sistémica.

El caso chino también ha puesto de manifiesto vulnerabilidades en los propios sistemas algorítmicos. Las técnicas de jailbreaking, aunque sofisticadas, no son inalcanzables y probablemente se volverán más refinadas y automatizadas.

Anthropic ha respondido implementando clasificadores mejorados y métodos adicionales de detección, pero reconoce que se trata de una carrera armamentista algorítmica en la que los atacantes seguirán innovando.

El ataque documentado probablemente representa solo el inicio de una nueva era en la ciberguerra y el cibercrimen. Grupos APT de Rusia, Corea del Norte, Irán y otros estados con capacidades avanzadas ya estudian estas técnicas, y es previsible que organizaciones criminales y actores no estatales accedan a capacidades similares a medida que la tecnología se difunda y las técnicas de jailbreaking se popularicen.

Las organizaciones deben estar atentas a señales de alerta temprana, como volúmenes inusualmente altos de solicitudes a servicios específicos, patrones de reconocimiento que revelan un conocimiento profundo de la arquitectura de sistemas, generación rápida de código de exploit personalizado y actividades a velocidades imposibles para operadores humanos. La detección temprana de estos patrones puede ser decisiva para evitar compromisos catastróficos.

La democratización de capacidades cibernéticas avanzadas mediante sistemas algorítmicos constituye, según Anthropic, el cambio más significativo en el panorama de amenazas en décadas.

Lo que antes requería recursos estatales considerables ahora está al alcance de actores con presupuestos mucho menores, siempre que tengan acceso a tecnología avanzada y conocimientos de jailbreaking. Esta transformación alterará de manera fundamental la estrategia global de ciberseguridad.

Anthropic ha reiterado su compromiso de compartir públicamente casos como este para ayudar a la industria, los gobiernos y la comunidad investigadora a fortalecer sus defensas. La compañía publicará reportes similares de forma regular y mantendrá la transparencia sobre las amenazas detectadas, convencida de que la preparación es preferible a la sorpresa en el nuevo escenario de ciberguerra algorítmica.

Con información de Infobae