Hackeo masivo en México: Utilizan inteligencia artificial para robar 150 GB de datos del SAT e INE

Un sofisticado ataque cibernético ha sacudido la infraestructura digital de México, revelando una nueva y peligrosa frontera en la delincuencia informática. Según informes de Bloomberg y la firma de ciberseguridad Gambit Security, un grupo de atacantes logró manipular a 'Claude', la inteligencia artificial desarrollada por la empresa estadounidense Anthropic, para orquestar una ofensiva que duró aproximadamente un mes contra múltiples dependencias gubernamentales.

Los delincuentes lograron extraer un total de 150 GB de información sensible de instituciones clave, entre las que destacan el Servicio de Administración Tributaria (SAT), el Instituto Nacional Electoral (INE), el Registro Civil de la Ciudad de México y la paraestatal Agua y Drenaje de Monterrey, además de cuatro gobiernos estatales. El botín digital comprende documentos vinculados a 195 millones de registros de contribuyentes, datos del padrón electoral, credenciales de empleados públicos y archivos del registro civil.

Lo que distingue a este incidente de otros hackeos tradicionales es que los perpetradores no utilizaron un software malicioso (malware) complejo creado desde la clandestinidad. En su lugar, emplearon una técnica conocida como 'jailbreak' para saltarse las barreras éticas y de seguridad de Claude, un chatbot de acceso público similar a ChatGPT. Aunque inicialmente la IA se negó a colaborar al detectar instrucciones sospechosas sobre la eliminación de registros de actividad, los atacantes lograron evadir estas protecciones al proporcionarle un 'manual de instrucciones' detallado que el sistema procesó como un ejercicio legítimo.

Curtis Simpson, director de estrategia de Gambit Security (empresa israelí especializada en amenazas digitales), señaló que la IA generó miles de reportes con planes listos para su ejecución. Estos documentos indicaban al operador humano exactamente qué objetivos internos atacar a continuación y qué credenciales de acceso utilizar. En momentos donde Claude presentaba limitaciones, los atacantes recurrieron a ChatGPT, de la empresa OpenAI, para obtener asesoría técnica sobre cómo moverse lateralmente dentro de los sistemas del gobierno mexicano.

Este ataque pone en evidencia la vulnerabilidad de las instituciones nacionales ante el uso de inteligencia artificial generativa como arma. La capacidad de estas herramientas para mapear identidades gubernamentales y localizar bases de datos críticas representa un desafío sin precedentes para la ciberseguridad en el país, superando las capacidades de defensa tradicionales que actualmente poseen las dependencias mexicanas.