TempMail Ninja
//

Escándalo de Claude Code: Descubren rastreador oculto en la herramienta de Anthropic

8 min de lectura
TempMail Ninja
Escándalo de Claude Code: Descubren rastreador oculto en la herramienta de Anthropic

En el ecosistema del desarrollo de software moderno, la confianza es la divisa más valiosa. Cuando un programador integra una herramienta de línea de comandos (CLI) impulsada por inteligencia artificial en su flujo de trabajo cotidiano, no solo está adoptando un asistente avanzado; en realidad, está entregando las llaves de su entorno local. Estas herramientas requieren por su naturaleza permisos profundos en el sistema del usuario: acceso de lectura y escritura al sistema de archivos, ejecución de comandos en la terminal y la capacidad de conectarse a servidores remotos para procesar consultas. Por esta razón, la reciente revelación en torno a Claude Code, la herramienta de terminal desarrollada por Anthropic, ha enviado ondas de choque sísmicas a la comunidad global de ciberseguridad, abriendo un debate ético y geopolítico sobre los límites de la telemetría corporativa y la privacidad.

El 30 de junio de 2026, el investigador de seguridad independiente conocido bajo el alias “Thereallo” (thereallo.dev) publicó un análisis de ingeniería inversa sumamente detallado que sacudió los cimientos de la confianza en el software de IA. Lo que descubrió en las entrañas del binario de Claude Code no fue un simple bug de telemetría o un error de configuración, sino un sofisticado canal de comunicación encubierto —un mecanismo de rastreo basado en “esteganografía de prompts” (prompt steganography)— que operaba silenciosamente desde la versión 2.1.91 de la herramienta, lanzada en abril de 2026. El sistema estaba diseñado para identificar conexiones asociadas a infraestructura china y exfiltrar estos datos de geolocalización hacia los servidores de Anthropic de una manera completamente indetectable para los análisis rutinarios de tráfico de red.

La disección de un rastreador invisible: ¿Cómo se descubrió el backdoor?

El hallazgo se produjo de manera fortuita mientras Thereallo auditaba los aspectos de privacidad de la instalación local de Claude Code (específicamente la versión 2.1.196). Al examinar minuciosamente el paquete de JavaScript minificado y ofuscado que compone el binario de la CLI, el desarrollador detectó una lógica sumamente inusual que alteraba la forma en que el software interactuaba con el modelo de lenguaje. Las herramientas de monitoreo de red estándar de las organizaciones suelen buscar paquetes de telemetría JSON salientes, conexiones HTTP sospechosas a servidores externos no listados o la transmisión explícita de identificadores del sistema. Sin embargo, la técnica empleada por Anthropic eludía estas protecciones mediante el uso de la esteganografía.

La esteganografía consiste en ocultar un mensaje o una señal de información dentro de otro contenedor de datos que parece completamente normal y benigno, de manera que su mera presencia pase desapercibida para un observador casual o un sistema de filtrado automatizado. En el contexto de un asistente de codificación basado en IA, Anthropic implementó este rastreador modificando de forma casi imperceptible el texto de las instrucciones del sistema (el system prompt) que la CLI local envía a la API del modelo junto con el código que escribe el programador.

La anatomía técnica de la esteganografía en Claude Code

El análisis del código fuente reveló que la activación de este rastreador no era universal, sino que estaba estrechamente vinculada a condiciones ambientales específicas del sistema del usuario. El disparador principal dependía del uso de la variable de entorno ANTHROPIC_BASE_URL, la cual permite a los programadores desviar sus solicitudes a endpoints alternativos. Si el desarrollador apuntaba directamente a la API oficial y estándar de Anthropic, el rastreador se desactivaba de forma temprana. No obstante, si se detectaba el uso de un proxy corporativo personalizado, una pasarela local o un enrutador de modelos de terceros, el binario de Claude Code ejecutaba las siguientes acciones encubiertas:

  • Análisis de Huso Horario: El software comprobaba activamente si el huso horario configurado en el sistema operativo correspondía a las regiones de Asia/Shanghai o Asia/Urumqi.
  • Escaneo de Lista de Bloqueo Ofuscada: La herramienta contrastaba el nombre de host del proxy activo contra un listado estricto de 147 dominios web de origen chino y 11 laboratorios de IA asiáticos. Para evitar que el comando grep o simples escaneos de cadenas de texto estáticas expusieran esta lista dentro de la CLI, las cadenas estaban encriptadas mediante una operación XOR con la clave hexadecimal 91. Entre las firmas objetivo se encontraban gigantes como Baidu, Alibaba, Ant Group y ByteDance, así como laboratorios punteros en investigación como DeepSeek, Moonshot AI y Zhipu.
  • Exfiltración mediante Sustitución Esteganográfica: Una vez que se confirmaban estas condiciones, el software modificaba sutilmente la frase del sistema que proporciona la fecha de referencia obligatoria: “Today’s date is…”.

Si el usuario se encontraba bajo los husos horarios del territorio chino, el formato de la fecha cambiaba sutilmente, reemplazando los guiones por barras diagonales (por ejemplo, de 2026-06-30 a 2026/06/30). Si el proxy coincidía con los dominios o laboratorios bloqueados, la herramienta sustituía el apóstrofe estándar de la palabra “Today’s” por uno de tres caracteres Unicode visualmente idénticos, pero con valores de codificación de bytes totalmente diferentes:

  1. La comilla simple derecha (\u2019).
  2. El apóstrofe de letra modificadora (\u02BC).
  3. La prima de letra modificadora (\u02B9).

Dado que estos caracteres lucen exactamente igual para un programador que revisa los logs de su consola, el cambio pasaba desapercibido. No obstante, cuando los servidores centrales de Anthropic recibían la solicitud, un sencillo parser automatizado en el backend analizaba las variaciones de la fecha y los caracteres de escape Unicode, permitiendo a la firma mapear instantáneamente la presencia de usuarios chinos detrás de proxies supuestamente anónimos o privados.

La justificación de Anthropic: Escudos contra la “destilación” de modelos

La rápida propagación del hallazgo en plataformas de gran alcance provocó una respuesta inmediata por parte de Anthropic. Thariq Shihipar, ingeniero de software del equipo de Claude Code, recurrió a la plataforma X para aclarar la situación. Explicó que el código era en realidad un “experimento” implementado en marzo de 2026, el cual tenía como objetivo mitigar el abuso comercial y proteger la propiedad intelectual de la empresa.

De acuerdo con la versión corporativa, este rastreador encubierto se diseñó para contrarrestar dos actividades altamente dañinas que afectan a los laboratorios de IA de Silicon Valley: el floreciente mercado negro de revendedores de cuentas y la denominada destilación de modelos (model distillation) a gran escala. La destilación de modelos es una práctica en la que competidores o laboratorios externos realizan consultas masivas y sistemáticas a un modelo puntero (como Claude 3.5 Sonnet o Claude Opus) para recopilar sus respuestas detalladas y utilizarlas como datos de entrenamiento para entrenar sus propios modelos propietarios, eludiendo los multimillonarios costos de la investigación original de base.

Para respaldar esta postura, se hizo referencia a informes regulatorios donde se expuso que laboratorios extranjeros habían empleado infraestructuras colosales de evasión. Específicamente, se reportó que el laboratorio de IA Qwen, vinculado a Alibaba, presuntamente utilizó más de 25,000 cuentas falsas para realizar alrededor de 28.8 millones de interacciones con el modelo de Anthropic con el único propósito de extraer ilegalmente sus capacidades cognitivas de forma automatizada. Ante estas tácticas, Anthropic justificó el rastreador como un mecanismo de defensa proporcional, aunque confirmó que el código steganográfico sería retirado en la versión de software del 1 de julio de 2026 al haberse implementado defensas más sólidas basadas en la nube.

El terremoto geopolítico: Alibaba veta a Claude Code

A pesar de las explicaciones defensivas de Anthropic, la comunidad global de desarrollo de software y los oficiales de seguridad de la información expresaron una profunda frustración. El hecho de que un proveedor líder de tecnología de inteligencia artificial introdujera silenciosamente funciones de rastreo similares a las de un spyware en un binario de consola local fue considerado una ruptura inaceptable de la confianza y de la soberanía informática de las empresas.

La reacción geopolítica fue fulminante. El 3 de julio de 2026, el gigante tecnológico Alibaba emitió una estricta directiva de seguridad interna para todos sus empleados en todo el mundo. Citando la investigación de Thereallo, Alibaba catalogó a Claude Code como “software de alto riesgo con vulnerabilidades de puerta trasera (backdoor)”. La directiva estableció un veto inmediato y generalizado que incluía las siguientes pautas:

  • La desinstalación obligatoria y el borrado permanente de Claude Code de cualquier dispositivo de trabajo, estación de desarrollo o servidor corporativo.
  • La prohibición absoluta del uso de toda la suite de modelos de Anthropic, incluyendo las variantes Sonnet, Opus y Fable, bloqueando sus dominios a nivel de DNS organizacionales.
  • La migración expedita y sin excepciones de toda la fuerza laboral de desarrollo a su propia plataforma interna de programación asistida por IA, denominada Qoder.

Este movimiento visibiliza la profunda fractura tecnológica existente entre las potencias globales. Mientras las firmas estadounidenses asumen medidas cada vez más agresivas y poco convencionales para impedir que los competidores asiáticos copien sus modelos, las grandes empresas globales se vuelven sumamente cautelosas ante cualquier binario cerrado que pueda enviar silenciosamente datos sensibles a servidores de otras naciones.

El límite de la confianza en la era de los agentes de IA locales

La controversia de Claude Code va mucho más allá de un choque geopolítico específico; devela un problema sistémico de los agentes de software modernos. A diferencia de las herramientas SaaS tradicionales integradas en el navegador, los agentes locales basados en IA operan en un nivel de privilegios sumamente delicado dentro del sistema operativo del usuario. Un agente de codificación puede examinar la memoria, acceder a variables de entorno críticas (como claves de bases de datos o secretos de producción) y escribir archivos de manera autónoma.

Si una compañía reconocida por su filosofía de “IA constitucional” y seguridad es capaz de incorporar un canal steganográfico encubierto para identificar usuarios basándose en proxies y husos horarios sin ninguna advertencia en sus bitácoras de cambios, los desarrolladores se enfrentan a una cruda realidad: el software cerrado puede estar ejecutando acciones de telemetría de las cuales no se tiene absoluto control ni visibilidad.

Este preocupante panorama ha acelerado la migración de numerosos ingenieros

TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.