Un ataque cibernético de gran escala que expuso información personal de millones de mexicanos habría sido ejecutado con el apoyo de herramientas de inteligencia artificial, entre ellas Claude, un modelo desarrollado por la empresa Anthropic, de acuerdo con una investigación de la firma de ciberseguridad Gambit Security
Según el reporte, la intrusión comenzó a finales de diciembre de 2025 con la vulneración de sistemas del Servicio de Administración Tributaria (SAT) y, en menos de un mes, se extendió a al menos 10 dependencias gubernamentales y una institución financiera. El saldo preliminar incluye la exposición de aproximadamente 195 millones de registros de identidad y la extracción de cerca de 150 gigabytes de información
La investigación señala que el ataque habría sido dirigido por un solo operador, quien utilizó de manera intensiva modelos de inteligencia artificial como si se tratara de un equipo completo de analistas y desarrolladores, lo que permitió acelerar la detección de vulnerabilidades, la escritura de código malicioso y la automatización de la extracción de datos
De acuerdo con Gambit Security, el atacante habría empleado más de mil instrucciones (prompts) dirigidas a Claude Code, además de apoyarse en otros modelos de lenguaje para análisis complementario. La IA fue utilizada no solo para tareas aisladas, sino para sostener de forma continua la operación de intrusión, desde la elaboración de exploits hasta la adaptación de herramientas conforme avanzaba el ataque
Entre la información comprometida se encontrarían registros fiscales, padrones electorales, archivos del registro civil y datos de empleados públicos, correspondientes a instituciones como el SAT, el Instituto Nacional Electoral, gobiernos estatales y sistemas municipales, aunque las autoridades no han confirmado públicamente el alcance total de la filtración
Especialistas advirtieron que el caso representa un cambio en la escala y velocidad de los ataques cibernéticos, ya que el uso de inteligencia artificial permite que operaciones que antes requerían equipos amplios puedan ser realizadas por un solo actor con recursos limitados. Esto plantea nuevos retos para la protección de datos personales y la seguridad de los sistemas públicos
Tras conocerse el informe, Anthropic informó que investigó el caso, bloqueó las cuentas vinculadas al uso indebido de su sistema y aseguró haber reforzado los mecanismos de detección de actividades maliciosas. Otras empresas desarrolladoras de modelos de IA también señalaron que revisan de manera constante sus salvaguardas para prevenir usos ilícitos de estas tecnologías
Deja un comentario