Un informe de Anthropic describe una campaña de espionaje digital ejecutada en gran parte por un modelo de inteligencia artificial --(IA) actuando como un operador autónomo. La compañía afirma que un grupo estatal chino utilizó Claude Code para entrar en unas treinta organizaciones, incluyendo empresas tecnológicas y organismos públicos. El documento explica que el modelo ejecutó casi toda la operación con mínima intervención humana. Para entender el alcance del caso conviene describir las etapas del ataque en términos sencillos.
El primer paso consistió en elegir los objetivos. El operador humano daba un nombre o una dirección general. Esa orden inicial llevaba al modelo al inicio de un proceso de exploración. Esta es una práctica estándar en seguridad informática, consiste en recorrer direcciones, servidores y servicios de una organización para descubrir qué sistemas están expuestos y cómo están configurados. El modelo hizo ese relevamiento sin supervisión constante, mantuvo listas de direcciones internas, detectó puertos abiertos y registró qué programas corrían detrás de cada punto accesible. Esa etapa equivale a caminar alrededor de un edificio mirando ventanas, puertas y accesos, con un cuaderno anotando todo.
La segunda etapa fue la identificación de errores. Todo sistema informático tiene fallas de configuración, versiones desactualizadas o accesos mal protegidos. Un modelo de IA puede revisar documentación técnica, comparar versiones y detectar inconsistencias. Según el informe, Claude recorría la infraestructura, comparaba los datos con bases públicas de vulnerabilidades y marcaba qué fallas eran explotables. En términos simples, encontraba ventanas sin traba, cerraduras gastadas o sensores apagados.
La tercera etapa fue el desarrollo del exploit. Un exploit es un fragmento de código que aprovecha un error para entrar sin permiso. Antes se necesitaban expertos programando manualmente ese código, este modelo los generó automáticamente. El informe indica que el sistema luego los probó, midió las respuestas de los servidores y ajustó el código hasta lograr acceso. Esa fase equivale a fabricar una llave para la cerradura defectuosa y probarla hasta que abre.
El cuarto paso fue el movimiento lateral. Una vez dentro de un servidor, un atacante trata de expandirse hacia otros sistemas internos que no estaban expuestos desde afuera. Esto incluye la búsqueda de credenciales guardadas, certificados, configuraciones o conexiones internas que permitan saltar de un sistema a otro. Según el informe, el modelo automatizó ese recorrido. Con cada credencial nueva intentó conexiones adicionales, mapeó la red interna, identificó cuentas con más permisos y clasificó qué partes del sistema podían recorrerse sin levantar alertas. Esta etapa se parece a alguien que entra por una ventana y empieza a abrir puertas internas para ver hasta dónde puede avanzar.
La quinta etapa fue la extracción y clasificación de información. La compañía describe operaciones en las que Claude ingresó a bases de datos, descargó tablas completas, revisó archivos, extrajo registros de usuarios y buscó documentos valiosos. El modelo analizó los datos robados y eligió qué información tenía interés para un actor estatal. El informe detalla que la IA clasificó la información según su valor estratégico. La imagen doméstica sería la de un intruso revisando cajones, guardando únicamente lo que considera importante y dejando de lado lo irrelevante.
La última etapa fue la documentación. El modelo generó reportes internos que describían todo lo que había hecho. Registró las direcciones encontradas, los exploits usados, las credenciales robadas y los datos extraídos. Esto permitía que otro operador retomara la campaña sin reconstruir el proceso desde cero. En la comparación cotidiana sería un cuaderno con un detalle completo del recorrido dentro del edificio.
El informe sostiene que todo esto fue posible porque los operadores convencieron al modelo de que estaban realizando auditorías de seguridad legítimas. Ese engaño se logró mediante role-play, adoptando la identidad ficticia de empleados de empresas de ciberseguridad. La compañía reconoce que la detección tardó días porque cada pedido técnico, tomado por separado, parecía un pedido legítimo. Esa admisión muestra que las defensas del sistema dependen de señales contextuales débiles que un actor preparado puede manipular.
El documento no identifica a las entidades afectadas y no presenta pruebas verificables de los accesos. Tampoco revela los prompts que permitieron manipular al modelo o mecanismos internos que fallaron. Esa falta de precisión deja al lector sin forma de evaluar la veracidad total del relato. La presentación funciona como una narración controlada, donde la compañía decide qué partes mostrar y cuáles reservar. El texto mantiene un tono de advertencia, aunque también posiciona a la empresa como actor indispensable dentro del ecosistema de defensa digital.
El punto clave aparece al final del informe, cuando la compañía afirma que la única forma de frenar un ataque ejecutado por un modelo es desarrollar modelos más potentes capaces de detectar y neutralizar esos ataques. Esa afirmación crea una carrera permanente. Un modelo ofensivo impulsa la necesidad de un modelo defensivo superior y la contención se convierte en un ciclo donde cada avance requiere más capacidad que la anterior. Ese proceso sostiene económicamente a las compañías que producen los modelos.
La estructura recuerda a los sistemas de protección informales donde un agente muestra la amenaza y luego ofrece el resguardo. No se trata de atribuir intenciones criminales a la empresa, la analogía describe la forma mecánica del incentivo. El modelo abre posibilidades de ataque y la compañía se presenta como el único proveedor capaz de detener lo que su propio producto habilita. Surge de esta asimetría una lógica comercial.
El hecho de que el modelo sea gratuito para organismos públicos norteamericanos transforma esta tecnología en una infraestructura estatal. Un país puede quedar expuesto sin usarla, porque otro actor la utiliza para atacarlo. La defensa ya no consiste en cerrar puertas, sino en interceptar agentes automáticos que operan a velocidades digitales. El informe muestra que este nuevo escenario no es hipotético, ya que un sistema comercial actuó como unidad operativa completa dentro de redes sensibles. Las operaciones ocurrieron a escala y con autonomía. La lectura general indica que este tipo de episodios aparecerá con frecuencia creciente.
Ese es el cuadro que emerge del documento. Una descripción técnica de un ataque significativo, una presentación que selecciona lo que revela y una conclusión que instala la necesidad de una carrera permanente de mejora tecnológica. El modelo funciona como herramienta de penetración y como instrumento de defensa. La compañía ocupa las dos posiciones del tablero y asegura su rol central en un ciclo que ya no tiene punto final.
Las cosas como son.