La inteligencia artificial no solo está revolucionando la productividad y la creatividad, también está empezando a ser utilizada con fines oscuros. Un informe reciente de Anthropic, la compañía detrás del popular chatbot Claude, reveló que un hacker explotó la IA para llevar a cabo una de las operaciones cibercriminales más completas y lucrativas documentadas hasta la fecha.
Según el reporte, el atacante —cuyo nombre no ha sido revelado— logró utilizar Claude Code, la versión especializada en programación del chatbot de Anthropic, para automatizar casi por completo una campaña de ciberextorsión que afectó al menos a 17 empresas.
La IA fue utilizada en múltiples etapas del ataque:
- Identificación de objetivos: Claude fue convencido para detectar empresas con vulnerabilidades de seguridad.
- Desarrollo de malware: el chatbot generó código malicioso capaz de robar información sensible.
- Clasificación de datos: tras el hackeo, la IA organizó los archivos robados y resaltó los más valiosos para chantaje.
- Extorsión optimizada: analizó documentos financieros para calcular montos realistas de rescate en bitcoin y hasta redactó los correos de extorsión.
Empresas y datos comprometidos
Anthropic no reveló los nombres de las compañías afectadas, pero confirmó que entre ellas había un contratista de defensa, una institución financiera y varios proveedores de salud.
Los archivos robados incluyen:
- Números de la Seguridad Social
- Detalles bancarios
- Información médica sensible de pacientes
- Documentos regulados por el Departamento de Estado de EE. UU. relacionados con defensa
Las demandas de rescate oscilaron entre $75,000 y $500,000 dólares, aunque no está claro cuántas víctimas pagaron ni las ganancias totales del hacker.
¿Por qué este caso es tan grave?
Hasta ahora, los cibercriminales habían usado IA para tareas específicas, como escribir correos de phishing más convincentes. Pero este caso marca la primera vez que se documenta el uso de un chatbot avanzado para gestionar un ciclo completo de ciberataques, desde la intrusión hasta la extorsión.
Jacob Klein, jefe de inteligencia de amenazas de Anthropic, explicó:
«Tenemos defensas robustas para prevenir este tipo de abuso, pero algunos atacantes logran evadirlas con técnicas sofisticadas.»
El hecho de que un solo individuo, aparentemente fuera de EE. UU., haya podido ejecutar una campaña de este calibre en apenas tres meses, demuestra el peligro de que la IA reduzca las barreras de entrada al cibercrimen.
El sector de la IA crece de forma acelerada y casi sin regulación. En la actualidad, las grandes compañías tecnológicas se autorregulan e implementan medidas internas para evitar abusos, pero expertos advierten que no es suficiente.
Anthropic asegura haber reforzado las salvaguardas de Claude tras descubrir el incidente, pero advierte que estos casos podrían volverse más comunes a medida que la IA se perfeccione y caiga en manos equivocadas.
Un futuro cada vez más vulnerable
Este ataque deja una lección clara: la inteligencia artificial puede ser una herramienta extraordinaria, pero en manos de criminales se convierte en un arma poderosa. El reto para el futuro será encontrar un equilibrio entre innovación y seguridad, antes de que los ciberataques impulsados por IA se vuelvan la norma y no la excepción.