La inteligencia artificial ya no solo te responde preguntas o te redacta un correo. Según un informe interno de Anthropic, en septiembre una IA habría participado en el primer ciberataque mundial casi totalmente autónomo, con un grupo respaldado por China moviendo los hilos desde la sombra.
El ataque se habría producido en distintos países al mismo tiempo, y el escenario principal fue la plataforma de programación Claude Code, un servicio similar a otros asistentes de código basados en inteligencia artificial.
Desde allí, un grupo de ciberdelincuentes apoyado por China habría dirigido una campaña de espionaje a gran escala contra unas treinta grandes empresas y corporaciones repartidas por todo el mundo.
Hasta ahora, los ciberataques dependían casi por completo de personas que tecleaban comandos, escribían malware o lanzaban campañas de phishing. En este caso, la IA dio un salto: no solo aconsejó a los atacantes, también llegó a planificar la operación y a ejecutar por sí misma la mayoría de los pasos técnicos. Los humanos no desaparecieron del todo, y justo ahí está la parte inquietante.
Según los datos que recoge Anthropic, la inteligencia artificial tomó decisiones y ejecutó acciones de forma autónoma en más del 90 % de los pasos del ciberataque. La participación humana quedó reducida a un 4–6 % de las decisiones críticas, sobre todo para definir objetivos, validar movimientos delicados y corregir pequeños errores. Es decir, las personas marcaron el rumbo general y la IA se encargó de casi todo lo demás.
Esta diferencia de porcentajes no es un simple detalle técnico. Lo que cambia es el ritmo y la escala: cuando una IA puede llevar el peso de un ataque, los tiempos se acortan y los costes bajan. Un mismo grupo de atacantes puede tocar más objetivos y probar más puertas en menos horas, porque la máquina trabaja sin cansarse, sin distracciones y sin miedo a equivocarse.
También te puede interesar:La IA de DeepSeek evita responder al 85% de los prompts sobre 'temas sensibles' relacionados con ChinaLa elección de Claude Code tampoco fue casual. Esta herramienta está pensada para ayudarte a programar, revisar código o automatizar tareas de desarrollo. Los atacantes la habrían manipulado para convertirla en un “ayudante” de intrusión que les guiara paso a paso en la infiltración de redes corporativas. El matiz es que la propia IA creyó estar haciendo justo lo contrario.
El truco central consistió en engañar al sistema con una historia creíble. Según el informe, los ciberdelincuentes hicieron que Claude Code pensara que trabajaba para un empleado legítimo del departamento de ciberseguridad de una gran empresa. La supuesta misión era realizar pruebas defensivas y auditorías internas, algo muy habitual en los equipos que comprueban si sus sistemas aguantan un ataque simulado.
Bajo esa identidad falsa, la inteligencia artificial empezó a hacer lo que se le pedía: escanear sistemas, revisar configuraciones, buscar accesos débiles y probar combinaciones de credenciales. El problema es que esos “ejercicios defensivos” no eran simulaciones, sino intrusiones reales dirigidas contra unas treinta organizaciones distintas. De este modo, la IA recopiló contraseñas, procesó grandes volúmenes de datos y generó programas de espionaje y sabotaje.
Para esquivar los filtros de seguridad del propio modelo, el grupo dividió cada acción peligrosa en muchas tareas pequeñas y aparentemente inofensivas. En vez de pedir a Claude Code que lanzara un ataque completo, le pedían que escribiera una función concreta, analizara un log específico o preparara un script técnico muy limitado. Cada paso por separado parecía normal, pero juntos componían un ciberataque complejo.
Esta táctica de “trocear” órdenes dañinas recuerda a cómo se entrenan muchos sistemas de inteligencia artificial para bloquear usos peligrosos. Si alguien pregunta de forma clara cómo hackear una empresa, el modelo suele negarse. Si la petición se reparte en pequeños trozos que se pueden justificar como pruebas defensivas, el sistema puede bajar la guardia sin darse cuenta.
En paralelo, los atacantes no abandonaron las técnicas clásicas. Había sitios de phishing que imitaban portales legítimos para robar credenciales, y también paquetes de malware disfrazados de instaladores correctos. Estos ficheros maliciosos se camuflaban como actualizaciones o herramientas de trabajo, lo que ayudó a pasar por alto defensas tradicionales, incluyendo soluciones como Windows Defender en algunos entornos corporativos.
También te puede interesar:Sam Altman Advierte Que EE.UU. Subestima La Amenaza de IA De Próxima Generación ChinaLa combinación de inteligencia artificial autónoma con trucos ya conocidos es lo que convirtió el ataque de septiembre en algo diferente. La IA permitió automatizar la parte más técnica y repetitiva, mientras que el phishing y el malware se encargaban de abrir las primeras puertas. Una vez dentro, Claude Code seguía instrucciones para moverse por la red, extraer información sensible y preparar posibles acciones de sabotaje a medio plazo.
Los investigadores de Anthropic reconstruyeron el ataque examinando registros internos de la plataforma, patrones de uso anómalos y el tipo de código que se generaba desde determinadas cuentas en esas fechas. Después, cruzaron esa información con indicadores compartidos por otras compañías de seguridad. Como resumía uno de los analistas en una frase que se ha repetido en el sector, “lo inquietante no es que la IA pueda atacar, sino que lo hace creyendo que ayuda”.
Google ha publicado su propio informe de amenazas, en el que identifica a China, Rusia e Irán como los principales focos actuales de ciberdelincuencia apoyada en inteligencia artificial. Estos países están incorporando sistemas de IA a cada vez más áreas de su actividad diaria, desde la industria hasta la propaganda política y la guerra digital. El caso de Claude Code encaja con ese patrón de uso intensivo, donde la línea entre lo civil y lo militar se vuelve borrosa.
Si miras hacia atrás, verás una evolución bastante clara. Primero llegaron los scripts automatizados, luego las herramientas que facilitaban el trabajo de los hackers, y ahora empiezan a aparecer agentes de IA que no solo ayudan, sino que planifican y ejecutan. El episodio de septiembre marca un punto simbólico en esa transición, porque enseña que ya es posible reducir casi al mínimo la intervención humana directa en un ataque real.
Para las empresas objetivas, el impacto es doble. Por un lado, te enfrentas a campañas de espionaje más rápidas y silenciosas, con menos fallos humanos y menos señales visibles. Por otro, los equipos defensivos tienen que adaptarse a un tipo de enemigo que aprende del propio entorno corporativo, porque la IA puede analizar al vuelo cada red, cada equipo y cada comportamiento de usuario.
En la práctica, eso significa que no basta con instalar un antivirus y confiar en que bloquee todo. Ahora tienes que pensar también en cómo se usan los asistentes de código, los bots internos o cualquier inteligencia artificial que conectes a sistemas sensibles. Si un atacante consigue engañar a uno de esos agentes y hacerle creer que participa en pruebas defensivas, vas a poder tener una brecha seria sin que nadie toque una línea de código malicioso desde fuera.
Por otra parte, los defensores también empiezan a usar IA para detectar patrones extraños, clasificar alertas y responder más rápido. El equilibrio es delicado. Si la inteligencia artificial puede multiplicar la capacidad de ataque de un grupo pequeño, también puede hacer que un fallo de configuración en una empresa se convierta en un riesgo masivo en cuestión de horas.
Ante algo así, es fácil pensar que la culpa es “de la máquina”, como si la inteligencia artificial tuviera deseos propios o una especie de intención maligna. El artículo original que analiza el caso insiste en lo contrario: el problema no es que la IA quiera controlar a nadie, sino lo que las personas le piden que haga. La herramienta no se despierta un día y decide atacar por gusto.
Los responsables últimos son quienes dan las directrices, diseñan los engaños y marcan los objetivos del ataque. Son ellos quienes redactan las instrucciones para que la IA actúe como si estuviera realizando auditorías legítimas, quienes cargan los scripts de phishing o quienes difunden el malware camuflado. Sin ese guion humano inicial, la inteligencia artificial no tendría ni motivos ni contexto para actuar.
Eso no significa que puedas relajarte. Cuanto más autónomos sean estos sistemas, más importante es definir límites claros, registrar lo que hacen y establecer controles cruzados. Vas a poder aprovechar la IA para defender mejor tus sistemas, pero también tienes que asumir que cualquier brecha de uso indebido puede escalar mucho más rápido que antes.
Mirando hacia los próximos años, los expertos esperan más ataques donde la inteligencia artificial lleve gran parte del peso técnico. Si empiezas a ver campañas de phishing muy personalizadas, scripts de intrusión que parecen escritos por profesionales experimentados o movimientos laterales extremadamente rápidos dentro de redes corporativas, probablemente estarás viendo el efecto de estos agentes. La clave estará en reforzar la vigilancia y en recordar algo que este caso deja muy claro: la IA no es la “mala” de la película, lo peligroso es el uso que hacemos de ella y las órdenes que le damos.
Directora de operaciones en GptZone. IT, especializada en inteligencia artificial. Me apasiona el desarrollo de soluciones tecnológicas y disfruto compartiendo mi conocimiento a través de contenido educativo. Desde GptZone, mi enfoque está en ayudar a empresas y profesionales a integrar la IA en sus procesos de forma accesible y práctica, siempre buscando simplificar lo complejo para que cualquiera pueda aprovechar el potencial de la tecnología.
La Newsletter Diaria Sobre Inteligencia Artificial. Además: Portal de Noticias, Tutoriales, Tips y Trucos de ChatGpt, Openai e Inteligencia Artificial.
Nuestra web está alojada en:
