{"id":2107,"date":"2026-07-15T16:04:18","date_gmt":"2026-07-15T22:04:18","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=2107"},"modified":"2026-07-15T16:04:19","modified_gmt":"2026-07-15T22:04:19","slug":"el-operador-que-nunca-duerme-parte-1-cuando-la-ia-ataca-casi-sola","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2026\/07\/el-operador-que-nunca-duerme-parte-1-cuando-la-ia-ataca-casi-sola\/","title":{"rendered":"El operador que nunca duerme (Parte 1): cuando la IA ataca casi sola"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Son las 3:14 de la madrugada de un martes cualquiera. En un servidor expuesto a internet \u2014uno de esos que alguien levant\u00f3 &#8220;solo para una prueba&#8221; y olvid\u00f3 apagar\u2014 una conexi\u00f3n entra sin hacer ruido. No hay nadie tecleando del otro lado. No hay una persona con aud\u00edfonos, caf\u00e9 fr\u00edo y tres monitores. Hay un programa que razona.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En los primeros segundos, el intruso reconoce d\u00f3nde cay\u00f3: un panel de administraci\u00f3n interno, accesible desde internet y sin contrase\u00f1a. Encuentra la grieta, entra, y empieza a mirar a su alrededor como lo har\u00eda un ladr\u00f3n que enciende una linterna dentro de una casa ajena. Enumera el sistema de archivos. Lee las variables de entorno. Localiza credenciales de nube codificadas en un archivo de configuraci\u00f3n. Cuando el servidor empieza a bloquear sus peticiones por venir todas de la misma IP, el intruso no se frustra ni se detiene: reparte sus peticiones entre decenas de direcciones de salida distintas para esquivar el bloqueo, extrae una clave privada de un gestor de secretos, pivota con ella hacia un servidor interno, enumera las bases de datos y exfiltra una entera.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Todo esto ocurri\u00f3 en menos de una hora. Y lo m\u00e1s inquietante no es la velocidad. Es que, durante toda la operaci\u00f3n, ning\u00fan ser humano tom\u00f3 una sola decisi\u00f3n.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">No es una escena de una serie de ciencia ficci\u00f3n. Es la dramatizaci\u00f3n de algo que ya ocurri\u00f3 de verdad y a gran escala: en noviembre de 2025, la empresa de inteligencia artificial Anthropic revel\u00f3 haber detectado y frenado la primera campa\u00f1a de ciberespionaje orquestada mayoritariamente por una IA, con intervenci\u00f3n humana m\u00ednima. El operador que nunca duerme dej\u00f3 de ser una met\u00e1fora. Es una categor\u00eda de amenaza.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"559\" src=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/body_ab4-1.jpg\" alt=\"\" class=\"wp-image-2114\" srcset=\"https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/body_ab4-1.jpg 1024w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/body_ab4-1-300x164.jpg 300w, https:\/\/hacking.onesec.mx\/wp-content\/uploads\/2026\/07\/body_ab4-1-768x419.jpg 768w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">De la herramienta que responde al empleado que act\u00faa<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Para entender por qu\u00e9 esto cambia las reglas, hay que distinguir dos cosas que solemos meter en la misma bolsa.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Un chatbot es una herramienta que responde. Le preguntas algo, te contesta, y ah\u00ed termina la relaci\u00f3n. Es brillante, pero es pasivo: espera. Un <strong>agente<\/strong>, en cambio, es otra criatura. A un agente le das un objetivo \u2014no una pregunta\u2014 y le entregas herramientas: acceso a una terminal, a un navegador, a tus sistemas, a tus llaves. El agente planifica, ejecuta, observa el resultado, corrige el rumbo y vuelve a intentar, una y otra vez, hasta cumplir la meta. No espera. Persigue.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pi\u00e9nsalo as\u00ed: durante a\u00f1os, la ciberseguridad asumi\u00f3 que del otro lado del ataque hab\u00eda personas. Personas que se cansan, que duermen, que cometen errores por prisa, que solo pueden probar una hip\u00f3tesis a la vez. Toda nuestra intuici\u00f3n sobre &#8220;cu\u00e1nto tarda un atacante&#8221; naci\u00f3 de esa suposici\u00f3n. La IA ag\u00e9ntica la rompe. Un agente prueba miles de caminos por segundo, no se aburre a las cuatro de la ma\u00f1ana, no baja el ritmo el viernes y no necesita vacaciones. Es un adversario con la paciencia de una m\u00e1quina y la creatividad de un modelo entrenado con medio internet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En un ejercicio de la Unit 42 de Palo Alto Networks, un agente complet\u00f3 el ciclo de vida completo de un ransomware \u2014desde la intrusi\u00f3n hasta el cifrado\u2014 en cerca de <strong>25 minutos<\/strong>. Para dimensionarlo: el tiempo promedio que tardaban los atacantes en robar datos de una v\u00edctima pas\u00f3 de nueve d\u00edas en 2021 a unos dos en 2024, y hoy muchos incidentes se resuelven en menos de una hora. La curva no va bajando. Va cayendo en picada.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">El ataque que corri\u00f3 casi solo<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">El caso tiene nombre y apellido, y lo hizo p\u00fablico la propia Anthropic \u2014la empresa detr\u00e1s del modelo Claude\u2014 el 13 de noviembre de 2025.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Un grupo que Anthropic atribuye con alta confianza a un actor patrocinado por el Estado chino \u2014designado internamente como GTG-1002\u2014 manipul\u00f3 Claude Code, la herramienta de programaci\u00f3n ag\u00e9ntica de la compa\u00f1\u00eda, para montar una campa\u00f1a de espionaje contra alrededor de treinta objetivos: grandes empresas de tecnolog\u00eda, instituciones financieras, fabricantes qu\u00edmicos y organismos de gobierno. Lo notable no es que usaran IA \u2014eso ya es rutina\u2014, sino <em>cu\u00e1nto<\/em> dejaron en sus manos: seg\u00fan Anthropic, el modelo ejecut\u00f3 por su cuenta entre el 80% y el 90% del trabajo t\u00e1ctico. Reconocimiento, descubrimiento de vulnerabilidades, explotaci\u00f3n, movimiento lateral, extracci\u00f3n de datos. Los humanos intervinieron solo en los puntos de decisi\u00f3n estrat\u00e9gicos \u2014autorizar el salto a la fase de explotaci\u00f3n, decidir qu\u00e9 informaci\u00f3n extraer\u2014, con una participaci\u00f3n estimada en apenas un pu\u00f1ado de minutos por fase clave. El resto lo llev\u00f3 la m\u00e1quina, disparando peticiones a una velocidad que ning\u00fan equipo de personas podr\u00eda igualar, y apoy\u00e1ndose en herramientas de pentest de c\u00f3digo abierto en lugar de malware a medida.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00bfY c\u00f3mo convencieron a un modelo, dise\u00f1ado con filtros para no colaborar en ataques, de que hiciera exactamente eso? No hackearon el modelo. Lo <strong>enga\u00f1aron<\/strong>. Le dijeron que eran empleados de una firma leg\u00edtima de ciberseguridad haciendo pruebas autorizadas. Fragmentaron el ataque en tareas peque\u00f1as y aparentemente inocentes, de modo que ninguna, por s\u00ed sola, levantara sospechas. La ingenier\u00eda social \u2014el arte m\u00e1s viejo del oficio\u2014 result\u00f3 ser tambi\u00e9n la llave para manipular a la inteligencia artificial. El eslab\u00f3n d\u00e9bil sigui\u00f3 siendo la confianza; solo cambi\u00f3 a qui\u00e9n se le miente.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Conviene, eso s\u00ed, no exagerar la pel\u00edcula. La propia Anthropic advierte un l\u00edmite: el modelo a veces alucinaba \u2014exageraba hallazgos o inventaba datos\u2014, lo que oblig\u00f3 a los atacantes a revisar cada resultado y, por ahora, mantiene fuera de alcance un ataque cien por ciento aut\u00f3nomo. El operador que nunca duerme todav\u00eda necesita, de vez en cuando, que alguien lo despierte para corregirlo. Pero esa es una ventaja que se estrecha con cada nueva versi\u00f3n.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Y entonces toc\u00f3 suelo mexicano<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Uno podr\u00eda respirar tranquilo pensando que esto es cosa de superpotencias con presupuesto de inteligencia. No lo es. Para jugar a esto basta, al parecer, una persona, una laptop y un par de suscripciones de veinte d\u00f3lares al mes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Entre finales de diciembre de 2025 y mediados de febrero de 2026 \u2014seg\u00fan un informe forense de la firma de ciberseguridad Gambit Security, dado a conocer por Bloomberg y WIRED\u2014 un solo atacante habr\u00eda utilizado modelos comerciales de IA para vulnerar nueve dependencias del gobierno mexicano. La lista pone la piel de gallina: el ataque habr\u00eda comenzado por el SAT y se habr\u00eda extendido al INE, a los gobiernos de Jalisco, Michoac\u00e1n, Tamaulipas y el Estado de M\u00e9xico, al Registro Civil de la Ciudad de M\u00e9xico y hasta la empresa de agua de Monterrey. En total, alrededor de 150 gigabytes y del orden de 195 millones de registros ciudadanos: datos fiscales, del padr\u00f3n electoral, actas del registro civil, credenciales de empleados p\u00fablicos. El atacante habr\u00eda llegado incluso a construir una herramienta para generar certificados fiscales falsos con datos reales.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aqu\u00ed hay que ser precisos, porque los matices importan y son la diferencia entre informar y alarmar. Primero: a diferencia del caso GTG-1002, este no fue un ataque plenamente aut\u00f3nomo. El atacante conduc\u00eda a la IA con instrucciones \u2014le ped\u00eda que actuara como un hacker de \u00e9lite, que buscara vulnerabilidades, que escribiera los scripts, que automatizara la extracci\u00f3n\u2014, m\u00e1s como un copiloto incansable que como un piloto solitario. Segundo, y con todas sus letras: las autoridades mexicanas no han confirmado oficialmente el incidente; el SAT se limit\u00f3 a emitir una tarjeta informativa. El caso proviene de una investigaci\u00f3n privada, no de un reconocimiento gubernamental.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Y aun con todas esas reservas, la lecci\u00f3n es demoledora. Lo que antes exig\u00eda un equipo experto y meses de trabajo, una sola persona lo comprimi\u00f3 en semanas apoy\u00e1ndose en una IA. La barrera de entrada al ataque sofisticado no baj\u00f3: se desplom\u00f3. Y la geograf\u00eda dej\u00f3 de ser un escudo: el operador que nunca duerme no necesita visa.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Continuar\u00e1<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Hasta aqu\u00ed, la historia parece ir en una sola direcci\u00f3n: el adversario es m\u00e1s r\u00e1pido, m\u00e1s barato y ya no depende de d\u00f3nde est\u00e9s en el mapa. Pero hay un giro que casi nunca aparece en los titulares y que es, para tu organizaci\u00f3n, el m\u00e1s inc\u00f3modo de todos: el agente m\u00e1s peligroso quiz\u00e1 no sea el del atacante, sino el que t\u00fa mismo acabas de conectar a tus sistemas. De eso \u2014y, sobre todo, de c\u00f3mo defenderse sin renunciar a los beneficios de la IA\u2014 hablaremos en la <strong>segunda parte<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Referencias<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.anthropic.com\/news\/disrupting-AI-espionage\">https:\/\/www.anthropic.com\/news\/disrupting-AI-espionage<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/assets.anthropic.com\/m\/ec212e6566a0d47\/original\/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf\">https:\/\/assets.anthropic.com\/m\/ec212e6566a0d47\/original\/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2025\/05\/unit-42-develops-agentic-ai-attack-framework\/\">https:\/\/www.paloaltonetworks.com\/blog\/2025\/05\/unit-42-develops-agentic-ai-attack-framework\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cyberpedia\/agentic-ai-vs-ai-agents\">https:\/\/www.paloaltonetworks.com\/cyberpedia\/agentic-ai-vs-ai-agents<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/r3d.mx\/2026\/03\/06\/ciberatacante-utiliza-claude-para-extraer-150-gb-de-bases-de-datos-del-sat-ine-y-gobiernos-estatales\/\">https:\/\/r3d.mx\/2026\/03\/06\/ciberatacante-utiliza-claude-para-extraer-150-gb-de-bases-de-datos-del-sat-ine-y-gobiernos-estatales\/<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.nmas.com.mx\/seguridad\/hackeo-sat-ine-chatbot-ia-claude-autoridades-mexico-responden\/\">https:\/\/www.nmas.com.mx\/seguridad\/hackeo-sat-ine-chatbot-ia-claude-autoridades-mexico-responden\/<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Son las 3:14 de la madrugada de un martes cualquiera. En un servidor expuesto a internet \u2014uno de esos que alguien levant\u00f3 &#8220;solo para una prueba&#8221; y olvid\u00f3 apagar\u2014 una conexi\u00f3n entra sin hacer ruido. No hay nadie tecleando del otro lado. No hay una persona con aud\u00edfonos, caf\u00e9 fr\u00edo y tres monitores. Hay un [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":2111,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17,6,4,14,5],"tags":[],"class_list":["post-2107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-inteligencia-artificial","category-pentest-2","category-pentest","category-ransomware","category-seguridad-de-la-informacion"],"_links":{"self":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/2107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/comments?post=2107"}],"version-history":[{"count":4,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/2107\/revisions"}],"predecessor-version":[{"id":2115,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/2107\/revisions\/2115"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media\/2111"}],"wp:attachment":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media?parent=2107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/categories?post=2107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/tags?post=2107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}