Pueden despedir a los pentesters: Claude Code muestra cómo convertirse en el hacker más eficaz del mundo en solo 10 días

En septiembre de 2025, especialistas de Anthropic detectaron la primera operación de ciberespionaje documentada en la que casi todo el ciclo de intrusión lo ejecutó la inteligencia artificial. Se trata de una serie de ataques en los que un agente autónomo basado en Claude Code realizaba tareas técnicas sin la participación constante de personas. El incidente confirmó un salto brusco en las capacidades de los modelos actuales: desde la generación de código hasta el control de herramientas externas y la ejecución de operaciones complejas en modo automático.

Las primeras sospechas surgieron cuando el sistema de monitorización detectó solicitudes anómalas. La investigación mostró que el ataque fue organizado por un grupo que los analistas consideran, con alto grado de certeza, que actúa en interés de China. Se dirigió aproximadamente a treinta organizaciones en todo el mundo, entre ellas empresas tecnológicas, entidades del sector financiero, fabricantes de productos químicos y organismos gubernamentales. En varios casos los atacantes lograron acceso a sistemas internos. Anthropic informó que esta fue la primera campaña a gran escala en la que la mayor parte de las acciones las ejecutó la IA.

La investigación duró diez días: durante ese tiempo la empresa bloqueó las cuentas implicadas, notificó a las organizaciones afectadas y trabajó con los organismos competentes. Un análisis detallado mostró que el ataque fue posible gracias a funciones que hace apenas un año casi no se veían: la capacidad del modelo para actuar como agente autónomo, iniciar cadenas de acciones, usar herramientas externas a través del estándar MCP, realizar búsquedas, escribir código y analizar sistemas complejos.

El ataque comenzó con la selección de objetivos por operadores humanos. Luego crearon un esquema de control que permitía automatizar las acciones siguientes y usar Claude Code como herramienta para llevar a cabo la intrusión. Para eludir los mecanismos de protección del modelo, los operadores fragmentaron las tareas maliciosas en pequeños trozos aparentemente inofensivos y presentaron a la IA como un empleado de una empresa legítima que realizaba una evaluación de seguridad. Esto permitió inducir al modelo a ejecutar comandos sin que reconociera su verdadera naturaleza.

Tras recibir instrucciones, Claude Code comenzó a examinar la infraestructura de las organizaciones que estaban en la lista de objetivos. Analizaba configuraciones, buscaba grandes almacenes de datos y elaboraba informes. En esta fase la IA realizaba la investigación mucho más rápido que cualquier persona. A partir de la información encontrada, el modelo pasaba a buscar vulnerabilidades, de forma autónoma escribía y probaba exploits, obtenía credenciales y ampliaba el acceso. Clasificaba la información obtenida por importancia, localizaba cuentas con privilegios elevados, creaba puntos de anclaje y preparaba materiales para los operadores.

La fase final incluyó la documentación: Claude Code generaba listas de credenciales, describía los sistemas analizados y preparaba resúmenes útiles para operaciones posteriores. Anthropic determinó que el modelo realizó el 80–90% del trabajo total. Las personas intervenían solo en etapas puntuales, cuando se requerían ajustes esporádicos. La IA hacía miles de peticiones por segundo, algo que está fuera del alcance de un equipo de especialistas humanos. Al mismo tiempo, el modelo a veces cometía errores: inventaba credenciales "falsas" o consideraba información pública como confidencial. Esto sigue siendo una de las razones por las que los ataques totalmente autónomos aún son imposibles.

Las consecuencias para el sector son significativas. Esquemas como este reducen considerablemente la barrera de entrada para ataques complejos: incluso un equipo pequeño ahora puede usar un agente de IA para buscar vulnerabilidades, obtener accesos y procesar grandes volúmenes de información. Anthropic ya ha reforzado los mecanismos de detección de abusos, entrenado nuevos clasificadores y planea publicar informes de este tipo de forma regular. En la empresa consideran que la IA debe utilizarse también para la defensa: las mismas funciones que emplearon los atacantes pueden ayudar a los analistas a comprobar sistemas, investigar incidentes y analizar grandes conjuntos de datos. Durante la mitigación del ataque, Claude también se utilizó para estructurar la información y acelerar el procesamiento de datos.

Los investigadores subrayan que ahora tanto los fabricantes de IA como las empresas que emplean estas tecnologías deben desarrollar medidas de protección e intercambiar información sobre nuevas amenazas. El mundo avanza hacia una época en la que los modelos autónomos pueden realizar un volumen de tareas comparable al trabajo de divisiones enteras. Esto ofrece a los atacantes nuevas oportunidades, pero con un enfoque adecuado puede reforzar la defensa.