Un usuario con Claude robó 150 GB al gobierno mexicano

Un solo atacante, usando únicamente el asistente de IA Claude, logró vulnerar los sistemas del gobierno mexicano y exfiltrar 150 GB de datos. La brecha no requirió exploits sofisticados ni equipos de hackers: bastó con una cuenta de Claude y conocimiento básico de ingeniería social.

Por qué importa

La noticia rompe el mito de que las amenazas de IA requieren modelos avanzados o infraestructura costosa. Aquí, un atacante solitario utilizó Claude para automatizar tareas de reconocimiento, redactar correos de phishing y generar scripts de extracción. El gobierno mexicano no detectó la fuga durante semanas.

Para cualquier organización —desde una startup hasta un ministerio— la lección es clara: la IA pone herramientas de ataque al alcance de cualquiera. No se necesita ser un experto en ciberseguridad para causar daños millonarios.

Qué dice el contexto

• El atacante usó Claude para crear un plan de ataque paso a paso, incluyendo la redacción de correos dirigidos a funcionarios específicos.
• La exfiltración de 150 GB incluyó documentos clasificados, bases de datos de ciudadanos y credenciales internas.
• La brecha se descubrió cuando un empleado notó actividad inusual en un servidor, no por sistemas de monitoreo automatizados.
• El ataque tomó aproximadamente tres semanas desde el primer reconocimiento hasta la extracción completa.
• Claude no fue vulnerado; el atacante usó la versión gratuita del asistente para acelerar su trabajo manual.

Lo que puedes hacer

1. Audita tus procesos de autenticación: Implementa verificación en dos pasos en todos los sistemas críticos. El atacante usó credenciales robadas mediante phishing; el 2FA habría detenido el avance.
2. Entrena a tu equipo contra phishing asistido por IA: Los correos generados por Claude son más convincentes que los típicos. Realiza simulaciones periódicas con contenido generado por IA.