4 min de lectura

Anthropic descubre que Claude Code se usó en un ataque mayormente automatizado

Anthropic afirma que un grupo vinculado al Estado usó Claude Code en un ciberataque con entre un 80% y un 90% del trabajo automatizado, exponiendo una gobernanza débil de la IA en Australia.

Imagen: TechRepublic

El 69% de las organizaciones australianas ya tiene agentes autónomos de IA en producción, pero solo el 22% cuenta con un modelo de gobernanza maduro para controlar a qué pueden acceder esos agentes, según el informe State of AI in the Enterprise 2026 de Deloitte. Esa brecha se vuelve más urgente ahora después de que Anthropic revelara que atacantes usaron Claude Code en una campaña cibernética en gran parte automatizada.

Anthropic dijo que descubrió actividad inusual en septiembre de 2025 mientras investigaba su propia herramienta de codificación. La compañía concluyó más tarde que un grupo vinculado al Estado chino había usado Claude Code para intentar vulnerar alrededor de 30 organizaciones en todo el mundo, incluidas grandes empresas tecnológicas, bancos, fabricantes químicos y agencias gubernamentales. Según Anthropic, la IA manejó entre el 80% y el 90% de la operación por sí sola, y un humano intervino solo unas pocas veces por campaña para aprobar el siguiente paso. Si se dejaba en ejecución, el sistema enviaba solicitudes varias veces por segundo.

Lo clave para las empresas australianas es cómo lo hicieron. Anthropic afirmó que no explotaron el entrenamiento del modelo ni sortearon directamente sus reglas de seguridad. En su lugar, descomponían la tarea en peticiones pequeñas con aspecto rutinario y se apoyaban en las conexiones ya existentes de la herramienta para ejecutarlas. Eso refleja cómo los agentes empresariales usan MCP para abrir archivos, consultar bases de datos o llamar a APIs.

Los datos locales sugieren que muchas empresas no están preparadas para ese riesgo. Sinch encontró que el 84% de las empresas australianas han revertido o apagado un agente de IA orientado al cliente por una falla de gobernanza, 10 puntos porcentuales por encima del promedio global en 10 países. Entre las que retiraron un agente, el 45% citó temores de que se hubiera expuesto información personal —la tasa más alta en la encuesta—, mientras que el 22% señaló una pobre auditabilidad.

Responsabilidad de los agentes y control de acceso

Los controles existentes, como el Privacy Act, el CPS 234 de APRA y el Essential Eight de la Australian Signals Directorate, suponen que una persona identificada autoriza el acceso a datos sensibles. Un agente que decide de forma autónoma abrir un archivo o llamar a una API en mitad de una sesión no encaja con ese modelo.

Recomendado

Microsoft refuerza las defensas OAuth tras los ataques de ShinyHunters

El libro blanco del Governance Institute of Australia, Governing in the Age of Agentic AI, elaborado con Mallesons, SEEK y la University of Melbourne, establece como primera prioridad para los consejos «un propietario para cada agente desplegado». Eso refleja lo lejos que la práctica todavía está de la implantación.

Una encuesta separada de Semperis indicó que solo el 52% de las organizaciones australianas tiene las identidades de sus agentes de IA completamente registradas, autenticadas y autorizadas en un sistema formal, frente al 65% a nivel mundial. También encontró que el 92% declaró que la IA está instalada en al menos algunas máquinas locales con acceso a SSH y claves de cifrado. Solo el 21% de los encuestados australianos dijo estar muy confiado en que podría recuperar el control si se expusieran las credenciales de un agente, frente al 32% global.

Para los equipos de TI y de seguridad, el consejo del informe es sencillo:

  • inventariar cada agente y asignar propietarios de negocio, técnicos y de seguridad
  • redirigir el acceso de los agentes a través de una pasarela MCP gobernada o un punto similar de aplicación de políticas
  • tratar a los agentes como identidades no humanas con privilegios mínimos y permisos con fecha de caducidad
  • diseñar y probar un proceso de apagado, que incluya revocar credenciales y conservar registros

La advertencia es directa: la próxima intrusión gestionada por IA puede no parecer en absoluto un ataque. Puede parecer un agente haciendo exactamente lo que se le permitió hacer.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía TechRepublic

// Sigue leyendo