Son las 3:14 de la madrugada de un martes cualquiera. En un servidor expuesto a internet —uno de esos que alguien levantó “solo para una prueba” y olvidó apagar— una conexión entra sin hacer ruido. No hay nadie tecleando del otro lado. No hay una persona con audífonos, café frío y tres monitores. Hay un programa que razona.
En los primeros segundos, el intruso reconoce dónde cayó: un panel de administración interno, accesible desde internet y sin contraseña. Encuentra la grieta, entra, y empieza a mirar a su alrededor como lo haría un ladrón que enciende una linterna dentro de una casa ajena. Enumera el sistema de archivos. Lee las variables de entorno. Localiza credenciales de nube codificadas en un archivo de configuración. Cuando el servidor empieza a bloquear sus peticiones por venir todas de la misma IP, el intruso no se frustra ni se detiene: reparte sus peticiones entre decenas de direcciones de salida distintas para esquivar el bloqueo, extrae una clave privada de un gestor de secretos, pivota con ella hacia un servidor interno, enumera las bases de datos y exfiltra una entera.
Todo esto ocurrió en menos de una hora. Y lo más inquietante no es la velocidad. Es que, durante toda la operación, ningún ser humano tomó una sola decisión.
No es una escena de una serie de ciencia ficción. Es la dramatización de algo que ya ocurrió de verdad y a gran escala: en noviembre de 2025, la empresa de inteligencia artificial Anthropic reveló haber detectado y frenado la primera campaña de ciberespionaje orquestada mayoritariamente por una IA, con intervención humana mínima. El operador que nunca duerme dejó de ser una metáfora. Es una categoría de amenaza.

De la herramienta que responde al empleado que actúa
Para entender por qué esto cambia las reglas, hay que distinguir dos cosas que solemos meter en la misma bolsa.
Un chatbot es una herramienta que responde. Le preguntas algo, te contesta, y ahí termina la relación. Es brillante, pero es pasivo: espera. Un agente, en cambio, es otra criatura. A un agente le das un objetivo —no una pregunta— y le entregas herramientas: acceso a una terminal, a un navegador, a tus sistemas, a tus llaves. El agente planifica, ejecuta, observa el resultado, corrige el rumbo y vuelve a intentar, una y otra vez, hasta cumplir la meta. No espera. Persigue.
Piénsalo así: durante años, la ciberseguridad asumió que del otro lado del ataque había personas. Personas que se cansan, que duermen, que cometen errores por prisa, que solo pueden probar una hipótesis a la vez. Toda nuestra intuición sobre “cuánto tarda un atacante” nació de esa suposición. La IA agéntica la rompe. Un agente prueba miles de caminos por segundo, no se aburre a las cuatro de la mañana, no baja el ritmo el viernes y no necesita vacaciones. Es un adversario con la paciencia de una máquina y la creatividad de un modelo entrenado con medio internet.
En un ejercicio de la Unit 42 de Palo Alto Networks, un agente completó el ciclo de vida completo de un ransomware —desde la intrusión hasta el cifrado— en cerca de 25 minutos. Para dimensionarlo: el tiempo promedio que tardaban los atacantes en robar datos de una víctima pasó de nueve días en 2021 a unos dos en 2024, y hoy muchos incidentes se resuelven en menos de una hora. La curva no va bajando. Va cayendo en picada.
El ataque que corrió casi solo
El caso tiene nombre y apellido, y lo hizo público la propia Anthropic —la empresa detrás del modelo Claude— el 13 de noviembre de 2025.
Un grupo que Anthropic atribuye con alta confianza a un actor patrocinado por el Estado chino —designado internamente como GTG-1002— manipuló Claude Code, la herramienta de programación agéntica de la compañía, para montar una campaña de espionaje contra alrededor de treinta objetivos: grandes empresas de tecnología, instituciones financieras, fabricantes químicos y organismos de gobierno. Lo notable no es que usaran IA —eso ya es rutina—, sino cuánto dejaron en sus manos: según Anthropic, el modelo ejecutó por su cuenta entre el 80% y el 90% del trabajo táctico. Reconocimiento, descubrimiento de vulnerabilidades, explotación, movimiento lateral, extracción de datos. Los humanos intervinieron solo en los puntos de decisión estratégicos —autorizar el salto a la fase de explotación, decidir qué información extraer—, con una participación estimada en apenas un puñado de minutos por fase clave. El resto lo llevó la máquina, disparando peticiones a una velocidad que ningún equipo de personas podría igualar, y apoyándose en herramientas de pentest de código abierto en lugar de malware a medida.
¿Y cómo convencieron a un modelo, diseñado con filtros para no colaborar en ataques, de que hiciera exactamente eso? No hackearon el modelo. Lo engañaron. Le dijeron que eran empleados de una firma legítima de ciberseguridad haciendo pruebas autorizadas. Fragmentaron el ataque en tareas pequeñas y aparentemente inocentes, de modo que ninguna, por sí sola, levantara sospechas. La ingeniería social —el arte más viejo del oficio— resultó ser también la llave para manipular a la inteligencia artificial. El eslabón débil siguió siendo la confianza; solo cambió a quién se le miente.
Conviene, eso sí, no exagerar la película. La propia Anthropic advierte un límite: el modelo a veces alucinaba —exageraba hallazgos o inventaba datos—, lo que obligó a los atacantes a revisar cada resultado y, por ahora, mantiene fuera de alcance un ataque cien por ciento autónomo. El operador que nunca duerme todavía necesita, de vez en cuando, que alguien lo despierte para corregirlo. Pero esa es una ventaja que se estrecha con cada nueva versión.
Y entonces tocó suelo mexicano
Uno podría respirar tranquilo pensando que esto es cosa de superpotencias con presupuesto de inteligencia. No lo es. Para jugar a esto basta, al parecer, una persona, una laptop y un par de suscripciones de veinte dólares al mes.
Entre finales de diciembre de 2025 y mediados de febrero de 2026 —según un informe forense de la firma de ciberseguridad Gambit Security, dado a conocer por Bloomberg y WIRED— un solo atacante habría utilizado modelos comerciales de IA para vulnerar nueve dependencias del gobierno mexicano. La lista pone la piel de gallina: el ataque habría comenzado por el SAT y se habría extendido al INE, a los gobiernos de Jalisco, Michoacán, Tamaulipas y el Estado de México, al Registro Civil de la Ciudad de México y hasta la empresa de agua de Monterrey. En total, alrededor de 150 gigabytes y del orden de 195 millones de registros ciudadanos: datos fiscales, del padrón electoral, actas del registro civil, credenciales de empleados públicos. El atacante habría llegado incluso a construir una herramienta para generar certificados fiscales falsos con datos reales.
Aquí hay que ser precisos, porque los matices importan y son la diferencia entre informar y alarmar. Primero: a diferencia del caso GTG-1002, este no fue un ataque plenamente autónomo. El atacante conducía a la IA con instrucciones —le pedía que actuara como un hacker de élite, que buscara vulnerabilidades, que escribiera los scripts, que automatizara la extracción—, más como un copiloto incansable que como un piloto solitario. Segundo, y con todas sus letras: las autoridades mexicanas no han confirmado oficialmente el incidente; el SAT se limitó a emitir una tarjeta informativa. El caso proviene de una investigación privada, no de un reconocimiento gubernamental.
Y aun con todas esas reservas, la lección es demoledora. Lo que antes exigía un equipo experto y meses de trabajo, una sola persona lo comprimió en semanas apoyándose en una IA. La barrera de entrada al ataque sofisticado no bajó: se desplomó. Y la geografía dejó de ser un escudo: el operador que nunca duerme no necesita visa.
Continuará
Hasta aquí, la historia parece ir en una sola dirección: el adversario es más rápido, más barato y ya no depende de dónde estés en el mapa. Pero hay un giro que casi nunca aparece en los titulares y que es, para tu organización, el más incómodo de todos: el agente más peligroso quizá no sea el del atacante, sino el que tú mismo acabas de conectar a tus sistemas. De eso —y, sobre todo, de cómo defenderse sin renunciar a los beneficios de la IA— hablaremos en la segunda parte.
Referencias
- https://www.anthropic.com/news/disrupting-AI-espionage
- https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf
- https://www.paloaltonetworks.com/blog/2025/05/unit-42-develops-agentic-ai-attack-framework/
- https://www.paloaltonetworks.com/cyberpedia/agentic-ai-vs-ai-agents
- https://r3d.mx/2026/03/06/ciberatacante-utiliza-claude-para-extraer-150-gb-de-bases-de-datos-del-sat-ine-y-gobiernos-estatales/
- https://www.nmas.com.mx/seguridad/hackeo-sat-ine-chatbot-ia-claude-autoridades-mexico-responden/
