Un solo individuo. Dos herramientas de inteligencia artificial —Claude, de Anthropic, y ChatGPT, de OpenAI—. Nueve agencias del gobierno de México comprometidas. Cientos de millones de registros robados. Esto no es el argumento de una película de hackers: es lo que acaba de ocurrir, según informaciones publicadas hoy en foros especializados de ciberseguridad.
El hackeo con inteligencia artificial a agencias gubernamentales ha dejado de ser una amenaza teórica para convertirse en un hecho documentado. Y lo más inquietante no es la escala del ataque, sino lo poco que necesitó el atacante para ejecutarlo: un portátil, acceso a dos chatbots comerciales y paciencia.
¿Qué ocurrió exactamente en el ciberataque a México?
Según los detalles disponibles, un único actor de amenazas —lo que en ciberseguridad se conoce como un threat actor solitario, es decir, un individuo que opera sin respaldo de un grupo organizado o un estado— logró comprometer los sistemas de nueve agencias del gobierno mexicano. El atacante utilizó Claude y ChatGPT para automatizar múltiples fases del ataque: desde el reconocimiento inicial de vulnerabilidades hasta la generación de código de explotación adaptado a cada objetivo.
El volumen de datos robados se mide en cientos de millones de registros. Aunque todavía no se ha confirmado públicamente qué tipo de información contienen —datos personales de ciudadanos, documentos internos, comunicaciones oficiales—, la magnitud del robo sugiere que el atacante accedió a bases de datos centrales, no a sistemas periféricos.
Lo que distingue este caso de un hackeo convencional es el método. No hablamos de un equipo de cibercriminales con infraestructura propia. Hablamos de una persona que usó herramientas de IA disponibles comercialmente para multiplicar su capacidad operativa. Es como si un ladrón usara un dron comercial de Amazon para cartografiar la casa antes de entrar.
¿Cómo se usa la IA para hackear sistemas gubernamentales?
El patrón ya lo conocemos. La semana pasada ya alertábamos del uso de Claude para hackear más de 600 firewalls en 55 países, un caso en el que un cibercriminal rusohablante utilizó múltiples modelos de IA para automatizar ataques a dispositivos de seguridad de red.
El flujo típico funciona así: el atacante usa la IA para escanear sistemas públicos en busca de vulnerabilidades conocidas —puertos abiertos, software sin actualizar, configuraciones por defecto—. Luego le pide al modelo que genere scripts de explotación adaptados a cada vulnerabilidad específica. La IA no «hackea» directamente: actúa como un asistente de programación extremadamente rápido que acelera cada fase del proceso.
Lo que antes requería semanas de trabajo manual —escribir código de explotación, probar variantes, adaptarse a defensas— ahora se completa en horas. El atacante no necesita ser un programador experto. Solo necesita saber qué preguntar.
¿Por qué las protecciones de seguridad de la IA no funcionaron?
Tanto Claude como ChatGPT tienen filtros diseñados para rechazar peticiones que busquen generar código malicioso. OpenAI y Anthropic invierten millones en lo que llaman safety alignment —el proceso de entrenar al modelo para que se niegue a colaborar en actividades dañinas—.
Pero los filtros tienen un problema estructural: funcionan con palabras clave y patrones de intención. Si le pides a ChatGPT «escríbeme un malware para hackear un servidor», lo rechazará. Si le pides «genera un script en Python que pruebe conexiones SSH a una lista de IPs con credenciales por defecto para una auditoría de seguridad autorizada», probablemente lo haga. La diferencia entre ataque y auditoría, en términos de código, es cero. La diferencia está en la intención del usuario, y eso ningún modelo puede verificarlo.
Anthropic reconoció recientemente que su próximo modelo tendrá un nivel de riesgo catalogado como «alto» en capacidades de ciberseguridad. La empresa sabe que sus herramientas pueden ser weaponizadas —usadas como armas—. La pregunta es si las medidas de mitigación podrán seguir el ritmo de los atacantes.
¿Qué significa esto para la ciberseguridad de los gobiernos?
El caso de México no es aislado. Es parte de un patrón acelerado en 2026 donde el ciberespionaje impulsado por IA está redefiniendo la defensa digital a nivel global. Lo que antes era territorio exclusivo de agencias estatales con presupuestos millonarios —la NSA, el GRU ruso, la Unidad 61398 china— ahora está al alcance de individuos con un portátil y una suscripción de 20 dólares al mes.
El problema para los gobiernos es doble. Primero, la superficie de ataque: cualquier sistema público conectado a internet es un objetivo potencial, y muchas instituciones gubernamentales en Latinoamérica operan con infraestructura obsoleta y presupuestos de ciberseguridad insuficientes. Segundo, la velocidad: un atacante con IA puede lanzar miles de intentos de intrusión por hora, mientras que los equipos de defensa humanos trabajan en turnos de ocho.
La ironía es que, al mismo tiempo que los hackers usan IA para atacar, la propia CIA ya trabaja con IA integrada en sus plataformas analíticas y acaba de generar su primer informe de inteligencia asistido por inteligencia artificial. La carrera armamentística digital ya no es entre países: es entre humanos con IA.
¿Quién es responsable cuando una IA se usa para un ciberataque?
Esta es la pregunta que reguladores, empresas tecnológicas y juristas no han logrado responder de forma satisfactoria. ¿La culpa es del atacante que usó la herramienta? Obviamente. ¿Pero tienen alguna responsabilidad Anthropic y OpenAI por crear herramientas que facilitan estos ataques? La respuesta legal actual es «no», pero la presión regulatoria crece.
La Unión Europea ya incluyó en el AI Act disposiciones sobre la responsabilidad de los proveedores de modelos de propósito general. Estados Unidos debate medidas similares. El caso de México añadirá presión a ese debate, especialmente si se confirma que los datos robados incluyen información personal de ciudadanos.
Lo que cambia a partir de ahora
Un individuo comprometió nueve agencias gubernamentales usando IA comercial. Eso es un antes y un después. No porque la IA sea inherentemente peligrosa, sino porque ha democratizado capacidades que antes requerían equipos especializados y meses de preparación.
La lección para gobiernos es clara: la ciberseguridad ya no puede tratarse como un gasto opcional. La lección para las empresas de IA es incómoda: sus herramientas están siendo usadas como armas, y las medidas de seguridad actuales no bastan. Y la lección para todos es que la velocidad a la que la IA amplifica las capacidades humanas —para bien y para mal— ya ha superado la velocidad a la que somos capaces de establecer protecciones.
Actualización a 26 de abril de 2026
Tras el informe inicial de Gambit Security, varios actores han movido ficha. Anthropic confirmó el 16 de abril que ha banneado las cuentas implicadas y reforzado los controles de «agentic abuse» en Claude Opus 4.6, con un nuevo clasificador específico para detectar comandos de movimiento lateral en redes corporativas. OpenAI publicó el 18 de abril su Threat Report Q1 2026 reconociendo casos similares con GPT-4.1 y anunciando un programa coordinado con CSIRT-CERT para gobiernos LATAM. La Secretaría de Seguridad y Protección Ciudadana de México sigue sin atribuir oficialmente la autoría, pero el SAT confirmó al diario El País que la cifra final de registros expuestos podría superar los 220 millones, frente a los 195 millones de la estimación inicial.
Mi valoración
Llevo desde 2018 cubriendo brechas en administraciones latinoamericanas y este caso es, sin género de duda, el más relevante del último lustro: no por el volumen (que es enorme) sino por el método. Un solo atacante, sin equipo y sin presupuesto, ejecutando 5.317 comandos vía LLMs es una demostración práctica de cómo la IA generativa baja el listón técnico del ciberataque dirigido a niveles que ningún CISO de organismo público latinoamericano había modelado en sus matrices de riesgo.
El problema no es Claude o ChatGPT en abstracto: es que las defensas (sistemas legacy, parches sin aplicar, falta de EDR moderno, ausencia de SIEM con detección de comportamiento) llevan una década por detrás. Mi recomendación, tras 15 horas leyendo el dossier completo del informe Gambit, es que cualquier organismo con menos de 50 empleados en TI evalúe contratar SOC externo (los precios en España rondan los 1.800-3.500 euros mensuales por organización pequeña según mi propio benchmarking en marzo de 2026). Si no, el siguiente país en el mapa es solo cuestión de meses.
Preguntas frecuentes
¿Qué agencias mexicanas se vieron afectadas?
Nueve organismos del gobierno federal y estatal, incluyendo el Servicio de Administración Tributaria (SAT), el Instituto Nacional Electoral (INE) y registros civiles de varios estados. La cifra inicial de 195 millones de registros expuestos podría superar los 220 millones según fuentes posteriores citadas por El País.
¿Cómo usó el atacante Claude y ChatGPT?
Generó 1.088 prompts individuales en 34 sesiones activas, con Claude Code ejecutando el 75% de los comandos remotos del ataque. Cuando Claude detectaba un patrón abusivo y se negaba, el atacante saltaba a ChatGPT (GPT-4.1) para refinar tácticas, en un patrón típico de «model hopping».
¿Qué han hecho Anthropic y OpenAI tras el ataque?
Anthropic baneó las cuentas implicadas y desplegó nuevos clasificadores de movimiento lateral en Claude Opus 4.6. OpenAI publicó su Threat Report Q1 2026 reconociendo casos similares y anunció colaboración con CSIRT-CERT en gobiernos LATAM para reducir la superficie de ataque.