Hackers difunden la filtración de Claude Code y ocultan malware en archivos comprimidos

La fuga de datos del Claude Code se ha convertido en una herramienta en manos de ciberdelincuentes: los hackers distribuyen masivamente archivos que supuestamente contienen datos filtrados de Anthropic, pero junto con ellos las víctimas reciben malware oculto. El ataque se dirige a usuarios que buscan acceso a materiales prohibidos y están dispuestos a asumir riesgos por ello. El esquema funciona según el principio clásico del cebo digital.

Los archivos con nombres que sugieren contenido exclusivo — filtraciones de Anthropic, datos internos del Claude Code, código fuente de los productos de la empresa — se distribuyen a través de foros, canales de Telegram, servidores de Discord y torrents. En su interior, junto con archivos reales o fabricados, se oculta un infostealer o descargador de malware adicional. Tras su ejecución, el malware recopila datos de navegadores, carteras de criptografía y mensajeros — todo lo que puede utilizarse para robar cuentas o monetizarse en el mercado negro.

El ataque explota no solo la curiosidad del usuario, sino también su deseo de eludir restricciones. Las personas que buscan datos filtrados sobre productos de IA comerciales a menudo descuidan las medidas de seguridad estándar: no verifican la fuente, no ejecutan archivos en un entorno aislado, no analizan el contenido antes de abrir. Esto los convierte en una audiencia particularmente vulnerable.

Los investigadores señalan que estos esquemas se intensifican cada vez que aparece una filtración importante en el espacio público — ya sea real o falsa. Pero los ataques de hackers esta semana no se limitaron al Claude Code. El FBI advirtió sobre una amenaza grave para la seguridad nacional: delincuentes hackearon herramientas para vigilancia telefónica legal — los llamados sistemas de escucha telefónica.

Estos sistemas son utilizados por las agencias de inteligencia y las fuerzas de seguridad de EE.UU. para realizar investigaciones autorizadas.

El acceso a ellos abre la posibilidad de obtener datos secretos sobre operaciones en curso e identificar fuentes clasificadas. El FBI no reveló los detalles del hackeo, pero enfatizó que la amenaza es de naturaleza sistémica. Simultáneamente, se conoció la noticia del hackeo de Cisco como parte de una campaña a gran escala que se dirige a las cadenas de suministro.

Los delincuentes robaron fragmentos del código fuente de la empresa. Esto representa un valor significativo: el código fuente permite buscar vulnerabilidades de día cero que pueden explotarse en ataques dirigidos contra la infraestructura corporativa en todo el mundo. Los ataques a las cadenas de suministro siguen siendo una de las tendencias más peligrosas en ciberseguridad: un único proveedor comprometido abre la puerta a miles de organizaciones que confían en sus productos.

Los tres incidentes comparten un patrón común: los atacantes explotan la confianza — en marcas, en herramientas legítimas, en cadenas de asociación. Cuando un usuario descarga un archivo con una filtración, confía en su curiosidad. Cuando un sistema de escucha recibe una solicitud, confía en la autorización.

Cuando una corporación utiliza software de un proveedor, confía en la cadena de suministro. Los atacantes encuentran y explotan metódicamente cada uno de estos eslabones. Para el usuario promedio, la conclusión es clara: cualquier archivo con contenido exclusivo o filtrado de fuentes no oficiales debe considerarse potencialmente malicioso — independientemente de lo convincente que parezca la descripción.

Los infostealer ocultos en tales archivos comprometen no solo un dispositivo sino todos los servicios cuyas contraseñas se almacenan en el navegador. Si algo parece ser contenido exclusivo prohibido — probablemente sea una trampa.