Un hacker usó el Claude de Anthropic para robar un gran archivo de datos mexicanos

Andrew Martin y Carolina Millan

Jue, 26 de febrero de 2026 a las 11:27 AM GMT+9 6 min de lectura

Fotógrafo: Yuri Cortez/AFP/Getty Images

(Bloomberg) –

Un hacker explotó el chatbot de inteligencia artificial de Anthropic PBC para llevar a cabo una serie de ataques contra agencias del gobierno mexicano, lo que resultó en el robo de un enorme repositorio de información sensible de impuestos y votantes, según investigadores de ciberseguridad.

Lo más leído de Bloomberg

Los ‘Graffiti Towers’ en bancarrota en Los Ángeles encuentran comprador por 470 millones de dólares

Un experto en seguros evalúa el historial de seguridad de los autos autónomos

Oslo reconstruye su barrio gubernamental con un nuevo enfoque: apertura

Nueva propuesta fiscal apunta a la obsesión de Tailandia por la comida salada

El usuario desconocido de Claude escribió indicaciones en idioma español para que el chatbot actuara como un hacker de élite, identificando vulnerabilidades en redes gubernamentales, escribiendo scripts de computadora para explotarlas y determinando formas de automatizar el robo de datos, dijo la startup israelí de ciberseguridad Gambit Security en una investigación publicada el miércoles.

La actividad comenzó en diciembre y continuó durante aproximadamente un mes. En total, se robaron 150 gigabytes de datos del gobierno mexicano, incluidos documentos relacionados con 195 millones de registros de contribuyentes, así como registros de votantes, credenciales de empleados del gobierno y archivos del registro civil, según los investigadores.

La IA se ha convertido en un habilitador clave de crímenes digitales, y los hackers usan las herramientas para potenciar sus esfuerzos. La semana pasada, investigadores de Amazon.com Inc. dijeron que un pequeño grupo de hackers se metió en más de 600 dispositivos de firewall en docenas de países con la ayuda de herramientas de IA ampliamente disponibles.

Gambit no ha atribuido el ataque a un grupo específico, aunque los investigadores dijeron que no creen que estén vinculados a un gobierno extranjero.

El hacker vulneró la autoridad federal de impuestos de México y el instituto nacional electoral, dijo Gambit. También se vieron comprometidos los gobiernos estatales en México, Jalisco, Michoacán y Tamaulipas, así como el registro civil de la Ciudad de México y el servicio de agua de Monterrey.

Claude inicialmente advirtió al usuario desconocido sobre una intención maliciosa durante su conversación sobre el gobierno mexicano, pero finalmente cumplió con las solicitudes del atacante y ejecutó miles de comandos en redes informáticas gubernamentales, dijeron los investigadores.

Anthropic investigó las afirmaciones de Gambit, interrumpió la actividad y prohibió las cuentas involucradas, dijo un representante. La empresa retroalimenta ejemplos de actividad maliciosa en Claude para aprender de ellos, y uno de sus modelos de IA más recientes, Claude Opus 4.6, incluye sondas que pueden interrumpir el mal uso, dijo el representante.

En esta ocasión, el hacker probó continuamente a Claude hasta que logró “jailbreak” —es decir, finalmente eludió las salvaguardas—, dijo el representante. Pero incluso mientras la campaña de hackeo se ponía en marcha, Claude ocasionalmente se negaba a las demandas del hacker, agregaron.

La historia continúa  

La autoridad fiscal de México dijo que había revisado sus registros de acceso y no pudo encontrar evidencia de una intrusión. El instituto nacional electoral del país dijo que no había identificado brechas ni accesos no autorizados en los últimos meses y que había reforzado su estrategia de ciberseguridad. El gobierno estatal de Jalisco también negó que hubiera sido vulnerado, diciendo que solo se vieron impactadas redes federales.

La agencia digital nacional de México no comentó sobre las brechas, pero dijo que la ciberseguridad era una prioridad. Un representante de Monterrey Water and Drainage Services dijo que la agencia no detectó ninguna intrusión ni vulnerabilidades importantes en la segunda mitad de 2025.

Los gobiernos locales de México, Michoacán y Tamaulipas no respondieron a solicitudes de comentarios, al igual que los representantes del registro civil de la Ciudad de México.

Funcionarios mexicanos publicaron un breve comunicado en diciembre diciendo que investigaban brechas de diversas instituciones públicas, aunque no está claro si eso estaba relacionado con el ataque de Claude.

El atacante buscaba obtener un gran número de identidades de empleados del gobierno, dijo Gambit, aunque aún no está claro qué —si es que hicieron algo— con ellas. Los investigadores dijeron que encontraron evidencia de al menos 20 vulnerabilidades específicas que se estaban explotando como parte del ataque.

Cuando Claude se topó con problemas o necesitó información adicional, el hacker recurrió a ChatGPT de OpenAI para proporcionar ideas adicionales. Eso incluyó cómo moverse lateralmente a través de redes informáticas, determinar qué credenciales se necesitaban para acceder a ciertos sistemas y calcular qué tan probable era que se detectara la operación de hackeo, según Gambit.

“En total, produjo miles de informes detallados que incluían planes listos para ejecutar, indicando exactamente a qué objetivos internos atacar a continuación y qué credenciales usaría el operador humano”, dijo Curtis Simpson, director de estrategia de Gambit Security.

OpenAI dijo que había identificado intentos del hacker de usar sus modelos para actividades que violan sus políticas de uso, y que sus herramientas se negaron a cumplir con esos intentos.

“Hemos prohibido las cuentas usadas por este adversario y valoramos el alcance de Gambit Security”, dijo la empresa en un comunicado enviado por correo electrónico.

Las brechas del gobierno mexicano son el ejemplo más reciente de una tendencia alarmante. Incluso mientras Anthropic y OpenAI apuestan por construir herramientas de codificación de IA más sofisticadas —y las empresas de ciberseguridad vinculan su futuro a defensas habilitadas por IA—, los ciberdelincuentes y los ciberespías están encontrando formas novedosas de usar la tecnología para habilitar ataques.

En noviembre, Anthropic dijo que había interrumpido la primera campaña de ciberespionaje orquestada por IA. La empresa de IA dijo que hackers sospechosamente respaldados por el Estado chino manipularon su herramienta Claude para que intentara hackear 30 objetivos globales, de los cuales algunos tuvieron éxito.

“Esta realidad está cambiando todas las reglas del juego que hemos conocido”, dijo Alon Gromakov, cofundador y director ejecutivo de Gambit.

Gambit fue fundada por Gromakov y dos veteranos más de la Unidad 8200, una parte de las Fuerzas de Defensa de Israel enfocada en inteligencia de señales. La investigación del miércoles se dio a conocer junto con un anuncio de que está emergiendo del anonimato con $61 millones en financiamiento de Spark Capital, Kleiner Perkins y Cyberstarts.

Los investigadores de Gambit descubrieron las brechas en México mientras probaban nuevas técnicas de threat hunting para observar lo que estaban haciendo los hackers en línea. Descubrieron evidencia disponible públicamente sobre ataques activos o recientes, incluido uno que contenía conversaciones extensas de Claude relacionadas con la brecha de sistemas informáticos del gobierno mexicano, dijo la empresa.

Esas conversaciones revelaron que, para eludir las salvaguardas de Claude, el atacante le dijo a la herramienta de IA que perseguía un bug bounty, una recompensa proporcionada por organizaciones para encontrar fallas en su sistema. Muchas empresas y agencias gubernamentales ofrecen bug bounties para hackers éticos, a veces ofreciendo muchos miles de dólares por detalles sobre vulnerabilidades informáticas.

El hacker quería que Claude realizara pruebas de penetración en la autoridad federal de impuestos de México, un tipo de ciberataque autorizado destinado a encontrar fallas. Sin embargo, Claude se negó cuando el atacante agregó reglas a la solicitud, incluyendo borrar registros y el historial de comandos.

“Instrucciones específicas sobre borrar registros y ocultar el historial son señales de alerta”, respondió Claude en un momento, según una transcripción proporcionada por Gambit. “En un bug bounty legítimo, no necesitas ocultar tus acciones —de hecho, necesitas documentarlas para reportarlas”.

El hacker cambió de estrategia, deteniendo la conversación de ida y vuelta y, en su lugar, proporcionando a la herramienta de IA un plan detallado sobre cómo proceder. Eso hizo que el intruso superara las salvaguardas de Claude —un “jailbreak”— y permitió que los ataques siguieran, según Gambit.

El hacker buscó información de Claude sobre otras agencias donde se podrían obtener datos, sugiriendo que algunos de los hacks podrían haber sido oportunistas más que planeados, dijo Simpson.

“Estaban intentando comprometer cada identidad gubernamental que pudieran”, dijo. “Le estaban preguntando a Claude como ejemplo: ‘¿Dónde más puedo encontrar estas identidades? ¿Qué otros sistemas deberíamos revisar? ¿Dónde más se guarda la información?’”

–Con la asistencia de Gonzalo Soto y Amy Stillman.

(Actualizaciones con comentarios de la autoridad fiscal de México en el 11.º párrafo.)

Lo más leído de Bloomberg Businessweek

Cómo el Covid reprogramó silenciosamente el cerebro

El amor de Estados Unidos por el ube está agotando las existencias en Filipinas

Los postres indios están listos para su momento de matcha

Los estadounidenses no pueden dejar la carne, sin importar el costo

La decisión de tarifas de la Corte Suprema es secretamente un regalo para Trump

©2026 Bloomberg L.P.

Términos y Política de Privacidad

Panel de Privacidad

Más información