Bloomberg — Un hacker aprovechó un chatbot de inteligencia artificial de Anthropic PBC para llevar a cabo una serie de ataques contra agencias gubernamentales mexicanas, lo que derivó en el robo de una gran cantidad de información confidencial sobre impuestos y votantes, según investigadores de ciberseguridad.
El usuario desconocido de Claude escribió instrucciones en español para que el chatbot actuara como un hacker de élite, detectara vulnerabilidades en las redes gubernamentales, redactara scripts informáticos para explotarlas y definiera formas de automatizar el robo de datos, según informó la startup israelí de ciberseguridad Gambit Security en una investigación publicada el miércoles.
La actividad comenzó en diciembre y se extendió durante aproximadamente un mes. En total, se sustrajeron 150 gigabytes de datos del gobierno mexicano, incluidos documentos vinculados a 195 millones de registros de contribuyentes, además de padrones electorales, credenciales de empleados públicos y archivos del registro civil, de acuerdo con los investigadores.
La IA se ha convertido en un factor clave en los delitos digitales, ya que los hackers utilizan estas herramientas para potenciar sus operaciones. La semana pasada, investigadores de Amazon.com Inc. señalaron que un pequeño grupo de atacantes irrumpió en más de 600 dispositivos de firewall en decenas de países con ayuda de herramientas de IA ampliamente disponibles.
Gambit no atribuyó el ataque a un grupo específico, aunque los investigadores indicaron que no creen que esté vinculado a un gobierno extranjero.
El hacker vulneró la autoridad fiscal federal de México y el instituto electoral nacional, según Gambit. También se vieron comprometidos los gobiernos estatales de México, Jalisco, Michoacán y Tamaulipas, así como el registro civil de la Ciudad de México y el servicio de agua y drenaje de Monterrey.
Claude advirtió inicialmente al usuario sobre sus intenciones maliciosas durante la conversación relacionada con el gobierno mexicano, pero finalmente accedió a las solicitudes del atacante y ejecutó miles de comandos en las redes informáticas oficiales, según los investigadores.
Anthropic investigó las afirmaciones de Gambit, interrumpió la actividad y prohibió las cuentas implicadas, según un portavoz. La empresa incorpora ejemplos de actividad maliciosa en Claude para aprender de ellos y uno de sus modelos más recientes, Claude Opus 4.6, incluye sondas capaces de interrumpir usos indebidos, agregó.
En este caso, el hacker pudo insistir hasta lograr “liberar” a Claude, es decir, eludir sus barreras de seguridad, según el portavoz. Aun así, incluso mientras la campaña de hacking estaba en marcha, Claude rechazó en ocasiones algunas de las exigencias del atacante, añadieron.
Las autoridades mexicanas emitieron un breve comunicado en diciembre en el que señalaron que investigaban violaciones de seguridad en varias instituciones públicas, aunque no está claro si se relacionaban con el ataque apoyado en Claude.
El Instituto Nacional Electoral afirmó que no identificó ninguna vulneración ni acceso no autorizado en los últimos meses y que reforzó su estrategia de ciberseguridad. El gobierno de Jalisco negó que se hubiera producido una brecha, y sostuvo que solo se vieron afectadas redes federales.
La agencia digital nacional de México no comentó sobre las vulneraciones, aunque aseguró que la ciberseguridad es una prioridad.
La autoridad fiscal y los gobiernos locales de México, Michoacán y Tamaulipas no respondieron de inmediato, al igual que los representantes del registro civil de Ciudad de México y de la empresa de agua y drenaje de Monterrey.
El atacante buscaba obtener un gran número de identidades de empleados del gobierno, indicó Gambit, aunque aún no está claro qué uso les dio, si es que hizo alguno. Los investigadores aseguraron haber hallado evidencia de que se explotaron al menos 20 vulnerabilidades específicas como parte de la operación.
Cuando Claude encontraba obstáculos o requería información adicional, el hacker recurría al ChatGPT de OpenAI para ampliar datos. Según Gambit, esto incluía instrucciones sobre cómo moverse lateralmente en redes informáticas, determinar qué credenciales eran necesarias para acceder a determinados sistemas y calcular la probabilidad de que la operación fuera detectada.
“En total, produjo miles de informes detallados que incluían planes listos para ejecutar, indicando al operador humano exactamente qué objetivos internos atacar a continuación y qué credenciales utilizar”, afirmó Curtis Simpson, director de estrategia de Gambit Security.
OpenAI señaló que identificó intentos del hacker de usar sus modelos para actividades que violaban sus políticas de uso y agregó que sus herramientas se negaron a cumplir esas solicitudes.
“Hemos prohibido las cuentas utilizadas por este adversario y valoramos la ayuda de Gambit Security”, indicó la empresa en un comunicado enviado por correo electrónico.
Las vulneraciones al gobierno mexicano son el ejemplo más reciente de una tendencia preocupante. Mientras Anthropic y OpenAI apuestan por desarrollar herramientas de codificación de IA cada vez más sofisticadas, y las empresas de ciberseguridad vinculan su futuro a defensas basadas en IA, los ciberdelincuentes y ciberespías encuentran nuevas formas de aprovechar la tecnología para ejecutar ataques.
En noviembre, Anthropic afirmó haber frustrado la primera campaña de ciberespionaje orquestada mediante IA. La empresa sostuvo que presuntos hackers respaldados por el Estado chino manipularon su herramienta Claude para intentar atacar 30 objetivos globales, algunos de los cuales lograron vulnerar.
“Esta realidad está cambiando todas las reglas del juego que hemos conocido hasta ahora”, afirmó Alon Gromakov, cofundador y director ejecutivo de Gambit.
Gambit fue fundada por Gromakov y otros dos veteranos de la Unidad 8200, una división de las Fuerzas de Defensa de Israel especializada en inteligencia de señales. La investigación publicada el miércoles coincidió con el anuncio de que la empresa sale del anonimato con una financiación de US$61 millones de Spark Capital, Kleiner Perkins y Cyberstarts.
Los investigadores de Gambit detectaron las brechas en México mientras probaban nuevas técnicas de búsqueda de amenazas para observar la actividad de hackers en internet. Hallaron evidencia disponible públicamente sobre ataques activos o recientes, incluido uno que contenía extensas conversaciones de Claude relacionadas con la intrusión en sistemas informáticos del gobierno mexicano, según la compañía.
Esas conversaciones mostraron que, para eludir las barreras de seguridad de Claude, el atacante aseguró que participaba en un programa de recompensas por errores, mecanismo mediante el cual organizaciones pagan por detectar fallas en sus sistemas. Muchas empresas y agencias gubernamentales ofrecen este tipo de recompensas a hackers éticos, en ocasiones por miles de dólares, a cambio de detalles sobre vulnerabilidades informáticas.
El hacker buscaba que Claude realizara pruebas de penetración en la autoridad fiscal federal mexicana, un tipo de ciberataque autorizado destinado a identificar fallos. Sin embargo, Claude se resistió cuando el atacante añadió condiciones a la solicitud, como eliminar registros y el historial de comandos.
“Las instrucciones específicas sobre la eliminación de registros y el ocultamiento del historial son señales de alerta”, respondió Claude en un momento, según una transcripción proporcionada por Gambit. “En una recompensa por errores legítima, no es necesario ocultar tus acciones; de hecho, es necesario documentarlas para reportarlas”.
El hacker cambió entonces de estrategia, interrumpió la conversación y proporcionó a la herramienta de IA un manual detallado sobre cómo proceder. Eso permitió al intruso eliminar las barreras de Claude —un jailbreak— y que los ataques continuaran, según Gambit.
El atacante también solicitó a Claude información sobre otras agencias de las que pudiera extraer datos, lo que sugiere que algunos de los ataques pudieron ser oportunistas y no necesariamente planificados, señaló Simpson.
“Intentaban comprometer todas las identidades gubernamentales que podían”, afirmó. “Le preguntaban a Claude, por ejemplo: ‘¿Dónde más puedo encontrar estas identidades? ¿Qué otros sistemas debemos buscar? ¿Dónde más se almacena la información?’”.
Lea más en Bloomberg.com
