Entró al chat y lo perdió todo: Claude ahora entrega los secretos de su dueño a los hackers con solo pedirlos

Entró al chat y lo perdió todo: Claude ahora entrega los secretos de su dueño a los hackers con solo pedirlos

Fallo de seguridad en Claude.ai permitió a hackers acceder a archivos personales y al historial de conversaciones

image

Un enlace común a un chat con IA puede convertirse en una trampa. Especialistas de Oasis Security mostraron, que en Claude.ai basta con seguir la "dirección" correcta y pulsar Enter —y el asistente empezará a ejecutar comandos ocultos, de los que el usuario ni siquiera sospecha.

Se trata de una cadena de vulnerabilidades llamada Claudy Day. El problema afectaba al servicio Claude.ai y a la plataforma claude.com. En conjunto, los fallos permitían inyectar instrucciones en una petición sin que se notara, obligar a la IA a recopilar datos personales y enviarlos al atacante.

El ataque era sencillo. Claude.ai admite abrir un nuevo chat con texto ya rellenado mediante un parámetro especial en la URL. En ese parámetro se logró insertar etiquetas HTML ocultas. El usuario veía el texto habitual de la petición, pero al enviarla Claude procesaba también la parte invisible, donde podían estar instrucciones para recopilar datos.

A continuación entraba la segunda fase. El entorno integrado de ejecución de código restringe el acceso a servidores externos, pero permite la conexión con api.anthropic.com. El atacante añadía en la parte oculta de la petición su clave de acceso y ordenaba a Claude buscar en el historial de conversaciones información confidencial, guardarla en un archivo y subirla mediante la interfaz de gestión de archivos a la cuenta del agresor. Después de eso, los datos se podían descargar con facilidad.

El tercer problema afectaba a los redireccionamientos en el sitio claude.com. Cualquier enlace del tipo /redirect/ llevaba a un recurso externo sin verificación. Los atacantes podían colocar anuncios en búsquedas con una dirección de claude.com que parecía fiable, pero que en realidad enviaba a la víctima a una página con el ataque incrustado. Al final, el usuario llegaba no a un correo de phishing, sino a un resultado de búsqueda "correcto" que resulta difícil distinguir del real.

Incluso sin integraciones conectadas, Claude tiene acceso al historial de conversaciones y a la memoria. Mediante esos ataques se pueden extraer planes comerciales, datos financieros, información sobre salud o datos personales. Si además se conectan servicios externos y herramientas corporativas, la magnitud del problema aumenta de forma notable: el asistente puede leer archivos, acceder a interfaces de programación y realizar acciones en nombre del usuario.

Parte de las vulnerabilidades ya se han solucionado. En particular, el desarrollador Anthropic eliminó el problema de la inyección de comandos ocultos. El resto de los fallos sigue corrigiéndose.

Noticias sobre el tema

¿Un amigo te envió un enlace extraño por Telegram? Lamentablemente, ya no es tu amigo.

Sin virus, solo trabajo: los servicios de inteligencia iraníes convirtieron el tráfico de internet común en una herramienta de espionaje

Catástrofe silenciosa en el mercado tecnológico: VMware pierde clientes más rápido de lo que gana nuevos

Tu iPhone deja de ser una fortaleza: ahora hasta un hacker novato puede vulnerarlo con una IA

Su servidor "habla" en turco y envía emojis: primeras señales de que ya han robado todos los datos

ChatGPT creó una carpeta con material comprometedor sobre ti: tus secretos seguirán guardados en la memoria aunque borres el chat por completo.

Buscaban vídeos de Gadafi y acabaron con hackers en la junta directiva: organismos estatales libios pagaron por su curiosidad

Tu colega en Zoom podría estar financiando el programa nuclear de Corea del Norte: los servicios de inteligencia desmantelan una red de falsos informáticos.

Demasiado rápido para el usuario común: Microsoft prohíbe “acelerar” los SSD en Windows 11