Es difícil confiar en el informe de Anthropic por su contenido endeble

 (djnn.sh)
1 puntos por GN⁺ 2025-11-17 | 2 comentarios | Compartir por WhatsApp
  • El informe sobre actividades de ciberespionaje impulsadas por IA publicado por Anthropic afirma haber detectado ataques de un grupo de hackers respaldado por el Estado chino, pero se cuestiona por la falta de sustento técnico e información verificable
  • El informe no incluye en absoluto elementos clave de un reporte típico de inteligencia de amenazas, como IoC (indicadores de compromiso), TTP (tácticas, técnicas y procedimientos), ni información sobre dominios, hashes o herramientas de ataque
  • No presenta datos concretos ni evidencia sobre la forma detallada del ataque, los tipos de herramientas o sistemas utilizados ni la magnitud del daño, por lo que queda como una afirmación imposible de verificar
  • En particular, la afirmación de atribución del ataque a grupos vinculados al gobierno chino carece de fundamento, lo que la convierte en un anuncio irresponsable que no considera sus posibles repercusiones diplomáticas
  • En conjunto, se evalúa como un informe usado para promocionar sus propios productos de IA sin evidencia basada en hechos, y se plantea la necesidad de reforzar la transparencia y los criterios de verificación en la industria

Resumen del informe de Anthropic

  • Anthropic, la empresa que desarrolló el asistente de IA Claude, publicó recientemente un informe en el que afirma haber detectado una “operación de ciberespionaje liderada por IA”
  • Según el informe, alrededor de septiembre de 2025 el grupo de hackers GTG-1002, respaldado por el Estado chino, llevó a cabo ataques contra unas 30 organizaciones, y sostiene que algunas intrusiones tuvieron éxito
  • Se describe que el ataque utilizó una instancia de Claude Code para realizar pruebas de penetración de forma autónoma y que automatizó entre el 80% y el 90% del trabajo táctico

Falta de sustento técnico

  • El informe no incluye ningún indicador de compromiso (IoC) que normalmente se publica, como dominios, hashes, IP, correos de phishing o herramientas utilizadas
  • También omite análisis basados en el framework MITRE ATT&CK, el momento de los ataques, información sobre tooling y recomendaciones de respuesta
  • En comparación con informes como el de APT28 del CERT de Francia, se considera un formato por debajo del estándar de la industria

Afirmaciones imposibles de verificar

  • La cifra del informe que dice que “la IA realizó entre el 80% y el 90% del trabajo táctico” es imposible de verificar
  • Aunque se afirma que Claude realizó extracción de certificados, recolección de credenciales y consultas a servicios internos, no se menciona el método de ejecución concreto ni herramientas específicas (como Mimikatz)
  • Tampoco se explica qué sistemas o entornos fueron comprometidos ni cómo se procesaron los datos

Problema de atribución

  • El informe da por hecho que el ataque fue obra de un grupo vinculado al gobierno chino, pero no presenta fundamentos
  • No está claro de qué grupo APT se trata ni con qué análisis se hizo la atribución
  • El autor critica que esta atribución estatal sin sustento es diplomáticamente riesgosa y constituye un anuncio irresponsable

Conclusión y crítica

  • El informe parece estar enfocado en promocionar sus propias soluciones de defensa con IA sin verificación de hechos
  • En el último párrafo recomienda que “los equipos de seguridad deben aplicar IA a la defensa”, lo que deja ver una intención de impulsar la venta de productos de seguridad con IA
  • El autor lo califica como una “conducta vergonzosa y poco profesional” y exige elevar los estándares de verificación y la responsabilidad ética en toda la industria
  • Las afirmaciones sin sustento pueden dañar la credibilidad de la investigación en seguridad, y es necesario divulgar evidencia basada en hechos

Lecturas relacionadas

2 comentarios

 
GN⁺ 2025-11-17
Opinión en Hacker News

  • Hace tiempo, cuando era SRE/administrador de sistemas en un laboratorio de investigación de IA de una empresa FAANG, me pidieron probar modelos fundacionales ajustados para seguridad informática.
    Intenté inducirlos a hackear una impresora simulada o una caja Linux, pero en la práctica no fueron de gran ayuda.
    No parece que este tipo de modelos vaya a ser útil para la coordinación de ataques. En especial, construir una estructura de mando y control sobre un sistema expuesto públicamente es una decisión riesgosa cuando la API está conectada a una cuenta bancaria.

    • Creo que para los ciberdelincuentes esas limitaciones no significan mucho. A menudo pagan con claves de API robadas o con cuentas robadas.
      Las IA actuales son muchísimo mejores que antes, y si se eluden los filtros de seguridad, también realizan con facilidad tareas relacionadas con seguridad.
    • Me pregunto si la expresión “lo operan etiquetadores de datos adolescentes” se refiere a Alexandr Wang. En Wikipedia dice que tiene 28 años.
    • La razón por la que un actor malicioso elegiría Claude no sería por su capacidad para escribir código de ataque, sino porque muchas organizaciones occidentales usan Claude.
      El modelo Sonnet está entrenado conforme a patrones de código occidentales, así que tiene ventaja para encontrar vulnerabilidades en sistemas que manejan datos de esa misma distribución.
      También es más fácil reproducir un tono de lenguaje natural en ataques de phishing.
    • Eso de “Meta y sus etiquetadores de datos adolescentes” me trae recuerdos.
    • Aunque la API esté atada a una cuenta bancaria, servicios intermediarios como OpenRouter aceptan pagos en criptomonedas.

  • El historial de correcciones del blog de Anthropic es interesante.
    El 14 de noviembre de 2025 corrigieron “miles de solicitudes por segundo” por “miles de solicitudes, ocurriendo varias veces por segundo”.

    • Me parece raro concluir que el ataque lo hizo un modelo autónomo y no un humano basándose en la frase “varias solicitudes por segundo”.
      Un humano también puede realizar varias acciones por segundo mediante código.
    • No creo que alguien técnico fuera a confundir esas unidades.

  • La gente subestima las APT (amenazas persistentes avanzadas).
    Donde yo trabajaba también hubo un incidente de intrusión en Gmail, y fue un ataque compuesto que combinó varios zero-days con una campaña de ingeniería social.
    Al final aparecieron rastros de un actor estatal concreto, y la IA cumple el papel de acelerar la eficiencia de este tipo de ataques.

    • De hecho, entre las APT también hay atacantes poco calificados. He visto casos donde dejan abierto un servidor HTTP sin contraseña y exponen toda la carpeta raíz.
      Compensan con volumen, pero la calidad es baja. Por eso no confío por completo en el informe de Anthropic.
    • Escuchas sobre las “últimas noticias de hardware y software” y, sin darte cuenta, sientes que ya te suscribiste a otro podcast de tecnología.
    • Me sorprende que de verdad se hayan usado varios zero-days en un solo ataque.
    • Quiero confirmar si APT significa Advanced Persistent Threat.

  • Hay una gran brecha de conocimiento entre los investigadores de infosec y los investigadores de seguridad en ML.
    Anthropic tiene mucha gente del segundo grupo y le falta del primero.
    El artículo Attacker Moves Second también trata esta diferencia.
    En ML usan como métrica el ASR (Attack Success Rate), pero en seguridad una sola vez que el ataque tenga éxito ya se considera grave.
    ML asume pruebas estáticas; seguridad asume atacantes adaptativos.

    • Un investigador de ML no es un experto en seguridad. Hay que usar ambos campos juntos para ver el panorama completo.
      ML cumple el rol de blue team, y los investigadores de seguridad el de red team.

  • Todo el artículo se sintió como un texto de marketing del estilo “Claude es tan poderoso que los hackers chinos lo usan”.

    • Se parece a aquel rumor de que el PlayStation 2 era tan poderoso que Irak lo usaba como supercomputadora.
      Enlace al artículo relacionado
    • Como Anthropic hizo bien a Claude, parece que se convencieron de que también son expertos en seguridad.
      Por eso el informe da la impresión de haber sido escrito rompiendo los estándares de la industria.
    • Si enfatizan la amenaza china, pueden ganarse el favor del gobierno de EE. UU.
      Puede que realmente hayan detectado un ataque, pero afirmar que fue una organización patrocinada por el gobierno chino suena a marketing exagerado.
    • Publicitarse con el mensaje “nuestro producto es peligroso” es una estrategia rara fuera de la industria de defensa.
      Aun así, si no lo publican podrían ser criticados por encubrirlo, así que también podría ser un reporte con fin de advertencia.

  • El problema es la falta de evidencia para afirmar que el ataque fue de un grupo patrocinado por China.
    Este tipo de informes parece un mensaje político para inducir inversión del gobierno estadounidense.

    • Es raro que un informe público revele detalles como herramientas específicas o incluso URLs.
      Puede que estén en un informe para el gobierno, pero a nivel de blog podrían omitirse.
      Aun así, me parece excesivo saltar de “falta evidencia” a la conclusión de “manipulación política”.
      La sola posibilidad de que la IA se use en este tipo de ataques ya es una señal de alerta suficiente.
    • Anthropic lleva mucho tiempo con una línea anti-China.
      También es posible que hayan resaltado intencionalmente un incidente que incluía algunas IP chinas reales.
    • La burbuja de la IA pronto va a reventar, y parece que las empresas intentan presentarse como infraestructura de seguridad nacional para conseguir apoyo gubernamental.
    • Es irónico que griten “China roba tecnología” mientras ellos mismos hacen entrenamiento no autorizado con obras ajenas.

  • Me pregunto si Anthropic realmente tiene expertos en seguridad.
    Puede ser solo una estrategia corporativa, pero también podría ser que, por su estructura interna, les falte capacidad en seguridad.

    • A menudo critico que les falta capacidad de ingeniería. Una empresa así casi seguro no tiene un sistema de seguridad sólido.
    • Lanzar afirmaciones como “una operación de espionaje patrocinada por el gobierno chino” sin pruebas, teniendo poco personal de seguridad, es un acto irresponsable.
    • De todos modos, ellos deberían tener el modelo mismo entrenado con este tipo de informes, así que me pregunto por qué no pueden analizarlo directamente.
    • De hecho, hay un video de presentación sobre usar IA para resolver problemas de seguridad.
      Enlace de YouTube

  • Quienes han usado una IA asistente de programación como Claude no subestiman su capacidad.
    Las afirmaciones del informe también se sienten bastante plausibles.

    • Yo le doy a Claude acceso por SSH y hago que investigue directamente problemas de red dentro del servidor.
      Fue bastante útil en el proceso de analizar tcpdump y tablas de enrutamiento.
      Eso sí, hay que poder identificar sus límites y cuándo empieza a fallar, e intervenir personalmente.
    • Los comentarios del tipo “yo no lo he usado, pero...” se ven mucho en HN.
      Ese patrón de hablar como experto sin haberlo probado realmente resta credibilidad.
    • El problema del informe no es el potencial de la herramienta, sino la ausencia de evidencia.
      La mera posibilidad no basta para convertirlo en un informe confiable.
    • Anthropic solo presentó plausibilidad, pero como no hay base empírica, la calidad es baja y sus motivaciones resultan sospechosas.

  • El informe de Anthropic se sintió como publicidad de “nuestra tecnología es tan poderosa que puede usarse mal”.
    Como esos anuncios de armas que dicen “miren qué peligrosa es esta arma”.

  • Cuando vi el título por primera vez, pensé que se trataba de Anthropic, la empresa de papel, fabricando papel con olor raro.
    Incluso después de leerlo hasta el final, me sigue pareciendo una tontería.