Un hacker usó a Claude de Anthropic para robar datos confidenciales mexicanos

Un hacker explotó el chatbot de inteligencia artificial de Anthropic PBC para llevar a cabo una serie de ataques contra agencias del gobierno mexicano, lo que resultó en el robo de una enorme cantidad de información confidencial sobre impuestos y votantes, según investigadores de ciberseguridad.

El usuario desconocido Claude escribió indicaciones en español para que el chatbot actuara como un hacker de élite, encontrando vulnerabilidades en las redes gubernamentales, escribiendo scripts de computadora para explotarlas y determinando formas de automatizar el robo de datos, dijo la startup israelí de ciberseguridad Gambit Security en una investigación publicada el miércoles.

La actividad comenzó en diciembre y se prolongó durante aproximadamente un mes. En total, se robaron 150 gigabytes de datos del gobierno mexicano, incluyendo documentos relacionados con 195 millones de registros de contribuyentes, así como registros de votantes, credenciales de empleados públicos y archivos del registro civil, según los investigadores.

La IA se ha convertido en un factor clave en la delincuencia digital, y los hackers utilizan estas herramientas para potenciar sus esfuerzos. La semana pasada, investigadores de Amazon.com Inc. afirmaron que un pequeño grupo de hackers irrumpió en más de 600 firewalls en docenas de países con la ayuda de herramientas de IA ampliamente disponibles.

Gambit no ha atribuido el ataque a un grupo específico, aunque los investigadores dijeron que no creen que estén vinculados a un gobierno extranjero.

El hacker vulneró la seguridad de la autoridad fiscal federal de México y del instituto nacional electoral, según Gambit. Los gobiernos estatales de México, Jalisco, Michoacán y Tamaulipas, así como el registro civil de la Ciudad de México y el servicio de agua de Monterrey, también se vieron comprometidos.

Claude inicialmente advirtió al usuario desconocido sobre intenciones maliciosas durante su conversación sobre el gobierno mexicano, pero finalmente cumplió con las solicitudes del atacante y ejecutó miles de comandos en las redes informáticas del gobierno, dijeron los investigadores.

Anthropic investigó las acusaciones de Gambit, interrumpió la actividad y baneó las cuentas involucradas, según un representante. La compañía introduce ejemplos de actividad maliciosa en Claude para aprender de ellos, y uno de sus últimos modelos de IA, Claude Opus 4.6, incluye sondas que pueden detectar el uso indebido, añadió el representante.

En este caso, el hacker pudo investigar continuamente a Claude hasta que logró liberarlo, lo que significa que finalmente eludió las barreras de seguridad, según el representante. Pero incluso mientras la campaña de hackeo estaba en marcha, Claude en ocasiones se negó a las exigencias del hacker, añadieron.

Los funcionarios mexicanos publicaron una breve declaración en diciembre diciendo que estaban investigando violaciones de varias instituciones públicas, aunque no está claro si eso estaba relacionado con el ataque de Claude.

El Instituto Nacional Electoral de México afirmó no haber identificado ninguna vulneración ni acceso no autorizado en los últimos meses y haber reforzado su estrategia de ciberseguridad. El gobierno del estado de Jalisco negó haber sufrido la vulneración, afirmando que solo las redes federales se vieron afectadas.

La agencia digital nacional de México no hizo comentarios sobre las violaciones, pero dijo que la ciberseguridad era una prioridad.

La autoridad fiscal y los gobiernos locales de México, Michoacán y Tamaulipas no hicieron comentarios de inmediato, como tampoco lo hicieron representantes del registro civil de la Ciudad de México y del organismo de agua de Monterrey.

El atacante buscaba obtener una gran cantidad de identidades de empleados gubernamentales, según Gambit, aunque aún no está claro qué hicieron con ellas, si es que hicieron algo. Los investigadores afirmaron haber encontrado evidencia de al menos 20 vulnerabilidades específicas explotadas como parte del ataque.

Cuando Claude encontró problemas o necesitó información adicional, el hacker recurrió a ChatGPT de OpenAI para obtener información adicional. Esto incluía cómo moverse lateralmente por las redes informáticas, determinar qué credenciales se necesitaban para acceder a ciertos sistemas y calcular la probabilidad de detección del ataque, según Gambit.

“En total, produjo miles de informes detallados que incluían planes listos para ejecutar, que le indicaban al operador humano exactamente qué objetivos internos atacar a continuación y qué credenciales usar”, dijo Curtis Simpson, director de estrategia de Gambit Security.

OpenAI dijo que había identificado intentos del hacker de utilizar sus modelos para actividades que violan sus políticas de uso, y agregó que sus herramientas se negaron a cumplir con estos intentos. “Hemos prohibido las cuentas utilizadas por este adversario y valoramos el apoyo de Gambit Security”, afirmó la compañía en un comunicado enviado por correo electrónico.

Las filtraciones del gobierno mexicano son el ejemplo más reciente de una tendencia alarmante. Mientras Anthropic y OpenAI apuestan por desarrollar herramientas de codificación de IA más sofisticadas, y las empresas de ciberseguridad vinculan su futuro a las defensas basadas en IA, los ciberdelincuentes y ciberespías están encontrando nuevas maneras de usar la tecnología para facilitar los ataques.

En noviembre, Anthropic anunció haber desmantelado la primera campaña de ciberespionaje orquestada por IA. La empresa de IA afirmó que presuntos hackers patrocinados por el Estado chino manipularon su herramienta Claude para intentar hackear 30 objetivos globales, algunos de los cuales tuvieron éxito.

"Esta realidad está cambiando todas las reglas de juego que hemos conocido", afirmó Alon Gromakov, cofundador y director ejecutivo de Gambit.

Gambit fue fundada por Gromakov y otros dos veteranos de la Unidad 8200, una unidad de las Fuerzas de Defensa de Israel dedicada a la inteligencia de señales. La investigación del miércoles se publicó junto con el anuncio de que está dejando atrás su sigilo con una financiación de US$61 millones de Spark Capital , Kleiner Perkins y Cyberstarts.

Los investigadores de Gambit descubrieron las brechas de seguridad mexicanas mientras probaban nuevas técnicas de búsqueda de amenazas para observar las actividades de los hackers en línea.

Descubrieron evidencia pública sobre ataques activos o recientes, incluyendo una que contenía extensas conversaciones de Claude sobre la vulneración de los sistemas informáticos del gobierno mexicano, según la compañía.

Esas conversaciones revelaron que, para burlar las barreras de Claude, el atacante le dijo a la herramienta de IA que buscaba una recompensa por errores, una recompensa que ofrecen las organizaciones para encontrar fallas en sus sistemas. Muchas empresas y agencias gubernamentales ofrecen recompensas por errores a hackers éticos, a veces ofreciendo miles de dólares por detalles sobre vulnerabilidades informáticas.

El hacker quería que Claude realizara pruebas de penetración en la autoridad fiscal federal mexicana, un tipo de ciberataque autorizado para encontrar vulnerabilidades. Sin embargo, Claude se negó cuando el atacante añadió reglas a la solicitud, como la eliminación de registros e historial de comandos.

“Las instrucciones específicas sobre la eliminación de registros y la ocultación del historial son señales de alerta”, respondió Claude en un momento dado, según una transcripción proporcionada por Gambit. “En las recompensas por errores legítimas, no es necesario ocultar las acciones; de hecho, es necesario documentarlas para informarlas”.

El hacker cambió de estrategia, interrumpiendo la conversación y, en su lugar, proporcionando a la herramienta de IA un manual detallado sobre cómo proceder. Esto permitió al intruso superar las barreras de Claude (una "fuga de la cárcel") y permitir que los ataques continuaran, según Gambit.

El hacker buscó la opinión de Claude sobre otras agencias donde se podrían obtener datos, lo que sugiere que algunos de los ataques pueden haber sido oportunistas en lugar de planificados, dijo Simpson.

“Intentaban comprometer todas las identidades gubernamentales posibles”, dijo. “Le preguntaban a Claude, por ejemplo: '¿Dónde más puedo encontrar estas identidades? ¿En qué otros sistemas deberíamos buscar? ¿Dónde más se almacena la información?'”