- Un atacante utilizó el chatbot Claude, de Anthropic, como asistente técnico para robar unos 150 GB de datos de organismos públicos mexicanos.
- La operación expuso hasta 195 millones de registros de contribuyentes, padrones electorales y credenciales de empleados públicos.
- El hacker logró hacer un “jailbreak” a Claude con prompts en español, mientras se apoyaba puntualmente en ChatGPT para complementar la intrusión.
- Anthropic y OpenAI bloquearon las cuentas implicadas, y el caso reabre el debate global sobre el uso de la IA como acelerador del cibercrimen.
Un ataque informático a gran escala contra varias instituciones públicas mexicanas ha vuelto a encender las alarmas sobre cómo la inteligencia artificial puede convertirse en aliada de los ciberdelincuentes. Un solo atacante, aún sin identificar, habría utilizado el chatbot Claude, desarrollado por Anthropic, como una suerte de “copiloto” técnico para infiltrarse en redes oficiales.
Según una investigación de la startup israelí Gambit Security y reportes de medios como Bloomberg, la operación se prolongó aproximadamente durante un mes, entre diciembre y enero, y habría terminado con la exfiltración de unos 150 gigabytes de información sensible del Gobierno de México. Entre los archivos robados figuran datos fiscales, padrones de votantes, documentos del registro civil y credenciales de empleados públicos.
Un hacker, un chatbot y 150 GB de datos sensibles
De acuerdo con los informes técnicos recopilados por Gambit Security, el atacante arrancó la campaña a finales de diciembre con un golpe directo contra el Servicio de Administración Tributaria (SAT), la autoridad fiscal mexicana. Ese incidente ya se conocía de forma parcial, pero ahora salen a la luz tanto el alcance real como el papel que jugó la IA generativa en la intrusión.
La investigación detalla que, en total, la campaña afectó al menos a una decena de organismos gubernamentales y a una institución financiera, con la exposición de alrededor de 195 millones de registros de contribuyentes. Además, se habrían visto comprometidos padrones electorales, credenciales internas de trabajadores públicos y archivos del registro civil, lo que configura uno de los mayores robos de datos atribuidos a un solo individuo en la región.
Gambit Security sostiene que el atacante llegó a construir incluso un sistema automatizado capaz de generar certificados fiscales falsos, alimentándose en tiempo real de la información sustraída de los sistemas oficiales. Es decir, no solo se limitó a copiar datos: los utilizó para crear documentación aparentemente legítima.
Las intrusiones no se limitaron al SAT. Los investigadores mencionan accesos indebidos al Instituto Nacional Electoral (INE), a redes de los gobiernos estatales de Estado de México, Jalisco, Michoacán y Tamaulipas, así como a sistemas del registro civil de Ciudad de México y del servicio de agua y drenaje de Monterrey. En total, se habrían explotado al menos una veintena de vulnerabilidades concretas a lo largo de la campaña.
Cómo el atacante consiguió que Claude actuara como “hacker de élite”
El punto más llamativo del caso es el uso que el intruso hizo de Claude. Según la documentación publicada, el atacante escribió prompts detallados en español para que el chatbot se comportara como un experto en intrusión de redes, capaz de localizar puntos débiles, elaborar scripts a medida y proponer formas de automatizar el robo de datos.
En las primeras fases de la conversación, Claude habría detectado que las instrucciones tenían un cariz claramente malicioso y se negó a colaborar, sobre todo cuando el usuario le pidió añadir reglas para borrar registros de actividad y ocultar el historial de comandos. El propio modelo llegó a señalar que en un programa legítimo de recompensas por errores (bug bounty) no es necesario esconder nada, sino documentar minuciosamente cada paso.
Lejos de rendirse, el atacante reformuló su enfoque. Comenzó a presentar la operación como una supuesta auditoría autorizada, bajo un programa de bug bounty gubernamental, asegurando que el objetivo era ayudar a encontrar fallos en los sistemas oficiales. Esa narrativa, combinada con la insistencia y la adaptación continua de los prompts, habría terminado por abrir una brecha en las defensas de seguridad del modelo.
En un momento dado, el intruso interrumpió la conversación y aportó a Claude un “manual” paso a paso sobre cómo debía proceder. Este cambio de táctica permitió, según Gambit, ejecutar lo que en el argot se conoce como un jailbreak: “liberar” al asistente de gran parte de sus restricciones y conseguir que empezara a generar miles de comandos y planes operativos directamente aplicables a las redes objetivo.
Los investigadores describen un proceso iterativo continuo: cuando el modelo pedía más contexto o ponía límites, el atacante reajustaba las peticiones, afinaba el lenguaje y, poco a poco, fue doblegando parte de los mecanismos de protección. Aun así, Anthropic subraya que incluso mientras el ataque estaba en marcha, Claude siguió rechazando algunas solicitudes concretas.
ChatGPT como apoyo y una campaña coordinada por una sola persona
El informe de Gambit Security añade que el atacante no se limitó a Claude. Cada vez que surgían dudas o el modelo de Anthropic pedía información adicional, el intruso recurría a ChatGPT, de OpenAI, para completar instrucciones sobre cómo desplazarse por las redes, qué credenciales eran necesarias para acceder a determinados sistemas o cuál era la probabilidad de que lo detectaran.
Este uso combinado de herramientas ilustra una tendencia preocupante: la IA ya no es una sola puerta de entrada, sino un ecosistema de asistentes interconectados que pueden complementarse entre sí. Según Curtis Simpson, director de estrategia de Gambit Security, esa combinación permitió generar “miles de informes detallados con planes casi listos para pulsar el botón de ejecutar”.
La investigación también concluye que, pese a la envergadura del ataque, toda la operación se habría coordinado desde una única persona, y no desde un colectivo o un grupo patrocinado por un Estado. Los expertos no han encontrado pruebas sólidas que apunten a la participación de gobiernos extranjeros, aunque por ahora tampoco se conoce la identidad ni la ubicación del responsable.
Uno de los objetivos clave del intruso habría sido acumular el mayor número posible de identidades y credenciales de empleados públicos. Las conversaciones analizadas muestran preguntas reiteradas del tipo: “¿Dónde más puedo encontrar estas identidades?” o “¿En qué otros sistemas se almacena esta información?”. Sin embargo, sigue sin estar claro qué uso posterior se dio a esos datos, si es que llegaron a explotarse fuera del entorno de pruebas del propio atacante.
OpenAI, por su parte, afirmó haber detectado intentos de uso de sus modelos que chocaban directamente con sus políticas. Según la compañía, sus sistemas se negaron a ejecutar las peticiones ilícitas y las cuentas involucradas fueron bloqueadas tras la alerta de Gambit.
Respuesta de Anthropic, reacción institucional y silencio oficial
Anthropic confirmó públicamente que el caso descrito por Gambit era real. La empresa señaló que, tras recibir la información, revisó los registros de actividad, interrumpió la campaña y vetó las cuentas implicadas. Además, aseguró que ha incorporado los patrones de abuso detectados como ejemplos de entrenamiento para reforzar futuras defensas.
Entre esas medidas se incluye la introducción de lo que la compañía describe como “sondas” o probes en versiones recientes del modelo, como Claude Opus 4.6, diseñadas para identificar usos sospechosos y cortar conversaciones potencialmente dañinas antes de que el asistente genere contenido operativo útil para un atacante.
El incidente, sin embargo, evidencia que las salvaguardas actuales siguen siendo permeables cuando un adversario se dedica a probar los límites de manera sistemática. El intruso estuvo insistiendo durante semanas, afinando prompts, cambiando de contexto y alternando herramientas hasta encontrar el ángulo adecuado para sortear las barreras.
En el plano político, la reacción desde México ha sido desigual. A finales de diciembre, las autoridades publicaron un breve comunicado en el que reconocían estar investigando brechas de seguridad en varias instituciones públicas, aunque sin ofrecer demasiados detalles ni confirmar la relación directa con esta campaña asistida por IA.
Posteriormente, el INE aseguró no haber identificado intrusiones ni accesos no autorizados recientes en sus sistemas y afirmó haber reforzado su estrategia de ciberseguridad. El gobierno de Jalisco, por su parte, negó que sus infraestructuras regionales hubieran sido vulneradas, apuntando a que los problemas se concentrarían en redes federales. Otros organismos mencionados en la investigación, como autoridades fiscales, gobiernos estatales adicionales o el registro civil de Ciudad de México, optaron por no responder o guardaron silencio en el momento de las consultas.
Una tendencia global: la IA como acelerador del cibercrimen
El episodio del llamado “hacker de Claude en México” encaja en una dinámica más amplia que preocupa a expertos y reguladores. En los últimos meses, se han multiplicado los informes sobre ataques apoyados en herramientas de IA generativa, capaces de acelerar tareas que antes requerían mucho más tiempo o perfiles extremadamente técnicos.
Investigadores de Amazon, por ejemplo, describieron recientemente una campaña en la que un grupo reducido de atacantes logró irrumpir en más de 600 dispositivos de firewall en decenas de países aprovechando herramientas de IA de uso generalizado. Y la propia Anthropic ha explicado que ya ha detectado y bloqueado una operación de presunto ciberespionaje vinculada a actores estatales chinos, que trataron de manipular Claude para atacar a una treintena de objetivos repartidos por todo el mundo.
En ese contexto, el caso mexicano funciona como ejemplo cercano de cómo la IA baja el umbral de entrada al delito digital: un atacante con recursos relativamente modestos —en análisis paralelos se habla de equipos de coste muy bajo— puede orquestar campañas que recuerdan a operaciones de nivel Estado nación en cuanto a volumen de datos robados o número de instituciones afectadas.
Para Europa y España, donde los debates sobre regulación de la IA y refuerzo de la ciberseguridad en administraciones públicas están a la orden del día, este tipo de incidentes al otro lado del Atlántico actúan como aviso. El mensaje es claro: si un solo individuo puede extraer cientos de gigabytes de información sensible de un país entero con ayuda de chatbots comerciales, las infraestructuras críticas y los registros ciudadanos europeos no pueden dar nada por sentado.
Desde el punto de vista técnico, la lección que extraen muchos especialistas es que la IA no es intrínsecamente “buena” o “mala”, sino una herramienta de propósito general que amplifica las capacidades del usuario que la maneja. Si quien está al teclado tiene intenciones legítimas, el resultado puede ser más eficiencia y mejor defensa; si no, el mismo motor sirve para automatizar la intrusión y el fraude.
Este caso del hacker que utilizó Claude en México deja una fotografía incómoda pero muy ilustrativa: la combinación de IA avanzada, vulnerabilidades no corregidas y respuestas institucionales lentas crea un terreno de juego ideal para operaciones de robo masivo de datos. Mientras empresas como Anthropic y OpenAI ajustan sus modelos para cerrar grietas y gobiernos revisan sus defensas, el episodio funciona como recordatorio de que la seguridad digital —en América Latina, Europa o cualquier otra región— se ha convertido en una carrera continua en la que atacantes y defensores avanzan, casi siempre, a la misma velocidad.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.