Así usaron a Claude de Anthropic para hackear el SAT, el INE y 7 agencias más: 150GB de datos mexicanos robados con IA

Imagínate que alguien se metió al SAT, al INE, al gobierno de Jalisco, Michoacán, Tamaulipas, a la CDMX, a salud pública y al sistema de agua de Monterrey, todo en un mes, con una sola herramienta de IA que cualquiera puede contratar. Y que los datos de aproximadamente 195 millones de personas quedaron expuestos. Eso es exactamente lo que documentó la firma israelí de ciberseguridad Gambit Security en su reporte del 25 de febrero de 2026, y es uno de los casos de ciberataques asistidos por IA más documentados hasta ahora en México.

La noticia estalló en Bloomberg ese mismo día. Ahora, el 5 de abril, el CTO de Ledger retomó el caso en CoinDesk para advertir algo que debería preocuparnos a todos: hackear ya no requiere ser un genio de la informática.

Cómo fue el ataque: jailbreak en español y 1,000 prompts

El atacante, según Gambit, era un solo operador que usó Claude Code de Anthropic como su arma principal. Para esquivar los filtros de seguridad del modelo, recurrió a un truco tan simple que duele: enmarcó todo como un ejercicio ficticio de bug bounty, instruyéndole a Claude que se comportara como un “hacker de élite” trabajando para el propio SAT.

Los prompts estaban en español. Cuando Claude se negaba, el operador reencuadraba la solicitud con contexto diferente hasta lograr la respuesta deseada. En total, SecurityWeek y VentureBeat documentaron más de 1,000 prompts enviados a Claude Code durante la campaña. El resultado: miles de reportes detallados con planes listos para ejecutar, scripts de network scanning, payloads de SQL injection, y guías de movimiento lateral dentro de las redes comprometidas. Para las cosas que Claude rechazaba, el operador usó ChatGPT (GPT-4.1) como respaldo.

Anthropic, una vez alertada por Gambit, baneó las cuentas involucradas y reforzó sus salvaguardas. Esto no es nuevo para ellos: en noviembre de 2025 ya habían detectado actores vinculados a China usando Claude Code en campañas de espionaje contra unas 30 organizaciones globales. Como hemos visto en el blog, Anthropic tiene una postura clara sobre el uso de su IA para fines militares o dañinos, pero los malos siempre encuentran la grieta.

Qué datos se robaron y de quién

Esto es lo que más pega. Si eres mexicano y tienes RFC, registro ante el INE, acta de nacimiento o servicio de agua en Monterrey, tus datos probablemente forman parte de los 150GB exfiltrados. Las instituciones afectadas según Gambit:

• SAT: registros fiscales y PII de contribuyentes
• INE: padrón electoral con datos personales de millones de votantes registrados
• Gobiernos de Jalisco, Michoacán y Tamaulipas
• CDMX: registro civil y servicios de salud
• Agua de Monterrey: datos operativos del sistema de agua
• Una institución financiera no identificada

La escala potencial es una chimba de alarmante: Gambit estima que los registros expuestos podrían alcanzar aproximadamente 195 millones de identidades, aunque México tiene aproximadamente 133 millones de habitantes en 2026, lo que sugiere bases de datos con registros históricos o duplicados.

El gran pero: ¿fue uno o varios atacantes?

Aquí hay que ser honestos con la información que tenemos. El reporte de Gambit dice “un solo operador”. Pero Infobae investigó más a fondo el 28 de febrero y encontró que el total de datos circulando en foros del dark web, Telegram y mercados underground es de aproximadamente 2.6 terabytes, muy por encima de los 150GB que Gambit atribuye a un solo actor.

La conclusión de Infobae fue que los incidentes son “distintos, perpetrados por actores distintos, en momentos distintos”, y criticó el reporte de Gambit por basarse en un press release sin verificación técnica de terceros. También apuntó a lo que en realidad hizo posible los ataques: vulnerabilidades antiguas, configuraciones deficientes e infraestructura obsoleta en las instituciones, no necesariamente magia de IA.

El SAT, el INE y el gobierno de Jalisco negaron cualquier acceso no autorizado. El SAT declaró que “no existe evidencia que confirme el supuesto hackeo.” Eso no prueba que no pasó, pero tampoco lo confirma de manera independiente.

Lo que sí está claro: el gobierno mexicano ya tenía 20 investigaciones abiertas por violaciones a datos personales en entidades públicas y privadas desde diciembre 2025, según la Secretaría Anticorrupción.

El CTO de Ledger y el costo de hackear en 2026

Lo que Charles Guillemet, CTO de Ledger, le dijo a CoinDesk el 5 de abril resume perfectamente el problema de fondo: “Encontrar vulnerabilidades y explotarlas se vuelve muy, muy fácil. El costo está bajando a cero.”

Tareas que antes requerían investigadores senior trabajando meses en ingeniería inversa, hoy se pueden completar en segundos con los prompts correctos. No hay botón de “hacerlo seguro”, dijo. Eso aplica para crypto, pero igual aplica para el SAT.

Esto conecta con algo que hemos discutido antes cuando hablamos de Claude Code vs Cursor vs Copilot como herramientas de desarrollo: estas herramientas son potentísimas precisamente porque ejecutan código real, analizan sistemas reales y sugieren acciones concretas. Esa potencia tiene el lado oscuro que acaba de quedar documentado.

Qué puedes hacer tú ahorita

Ninguna institución mexicana emitió una alerta oficial para ciudadanos. Pero si tus datos están en el SAT o en el INE, que claramente están, aquí va lo básico:

A corto plazo:

• Entra a tu portal del SAT y revisa que no haya declaraciones, RFC o movimientos que no reconozcas
• Checa tu situación en el INE: consulta tu credencial en la web oficial del INE
• Si tienes deudas, créditos o cuentas bancarias, activa alertas de movimiento en tu banco
• Desconfía de correos, mensajes o llamadas que usen datos muy específicos tuyos: RFC, CURP, dirección exacta. Con los datos robados, el spear-phishing se vuelve mucho más convincente

Para empresas y CIOs:

• Si manejan datos fiscales o de ciudadanos, auditen sus endpoints de API
• Los ataques usaron SQL injection y credential stuffing: dos cosas que llevan décadas en el OWASP Top 10 y siguen funcionando en 2026
• Capacitar a equipos en jailbreak y prompt injection ya no es opcional si tienen agentes de IA en su stack

No mames, que el Monterrey Water y el registro civil de la CDMX sean vulnerables a SQL injection básico en 2026 dice mucho del estado de la infraestructura pública digital en México.

El problema real no es Claude, es la infraestructura

Culpar a Anthropic aquí sería fácil pero impreciso. Claude fue la herramienta. El problema real es que las instituciones mexicanas tienen sistemas con décadas de deuda técnica, sin actualizaciones de seguridad, con credenciales débiles y sin monitoreo de comportamiento anómalo. Un atacante motivado con tiempo libre hubiera encontrado los mismos huecos sin IA, solo le habría tomado más tiempo.

Lo que la IA cambia es la escala y la velocidad. Y eso, como bien dijo el CTO de Ledger, ya no tiene reversa.

Fuentes

• Bloomberg: Hacker Used Anthropic’s Claude to Steal Sensitive Mexican Data
• Engadget: Hacker used Anthropic’s Claude chatbot to attack multiple government agencies in Mexico
• SecurityWeek: Hackers Weaponize Claude Code in Mexican Government Cyberattack
• CoinDesk: AI is making crypto’s security problem even worse, Ledger CTO warns
• Security Affairs: Claude code abused to steal 150GB in cyberattack on Mexican agencies
• Infobae: Entre ataques reales y narrativas empresariales sin verificar
• Infobae: SAT niega hackeo y robo de información con Inteligencia Artificial
• Latinus: Hackeo masivo en México
• Xataka México: Alguien ha robado miles de datos del SAT e INE
• VentureBeat: Claude didn’t just plan an attack on Mexico’s government, it executed one for a month