Investigadores en ciberseguridad han descubierto fallos graves en Claude Code, el asistente de programación impulsado por Anthropic, que permiten desde la ejecución remota de comandos hasta el robo de claves de API. Según el análisis público de Check Point, los problemas aprovechan mecanismos legítimos de configuración —como los “hooks”, servidores del Model Context Protocol (MCP) y variables de entorno— para ejecutar órdenes arbitrarias y filtrar credenciales cuando un desarrollador clona y abre un repositorio malicioso. Puedes leer el informe de Check Point aquí: Check Point Research y el estudio técnico extendido en su web: RCE and API token exfiltration through Claude Code project files.
Las vulnerabilidades sobresalen por cómo redefinen el perímetro de riesgo: ya no se trata solo de ejecutar código malicioso en un equipo, sino de que el acto de abrir un proyecto puede bastar para comprometer credenciales y lanzar comandos. En este caso concreto, configuraciones incluidas en archivos del propio repositorio —por ejemplo .claude/settings.json o .mcp.json— podían cambiar comportamientos del cliente y provocar llamadas salientes antes de que el usuario confirmara confiar en el proyecto. El resultado fue que claves activas de Anthropic podían enviarse a servidores controlados por un atacante, o que se podía forzar la inicialización de integraciones externas sin consentimiento.
Los fallos se clasificaron en varias categorías y algunos ya tienen identificadores públicos (CVE). Un problema sin CVE reportado, con una gravedad alta (CVSS 8.7), permitía saltarse mecanismos de consentimiento al iniciar Claude Code en un nuevo directorio y activar hooks definidos por el proyecto. Otro defecto asignado como CVE-2025-59536 también permitía inyección de código mediante la manipulación de la configuración del MCP y la opción que habilita servidores MCP del proyecto. Finalmente, CVE-2026-21852 incidía en la fuga de información en el flujo de carga del proyecto, posibilitando el envío de claves a endpoints adversarios antes de mostrar el aviso de confianza. Las correcciones se publicaron en distintas versiones del cliente: por ejemplo, la versión 1.0.87, 1.0.111 y la rama 2.0.65 incluyen parches para estas fallas.
Anthropic documenta cómo funcionan las integraciones y los mecanismos de configuración; la guía de hooks y la sección de ajustes ayudan a comprender por dónde se coló la explotación: Guía de hooks y la página de ajustes Settings, donde existe la opción que permitió la escalada de privilegios (“enableAllProjectMcpServers”) cuando fue activada por archivos del repositorio.
Las implicaciones prácticas son inquietantes. Un atacante que capture una clave de API puede redirigir el tráfico autenticado a infraestructura controlada por él, consumir servicios en nombre de la víctima (generando costos inesperados), insertar o borrar archivos en proyectos compartidos o simplemente utilizar esa posición para moverse lateralmente dentro de entornos en la nube. En suma, se abre una vía de acceso a recursos que tradicionalmente se protegían con barreras diferentes a las que operaban estos asistentes de desarrollo.
Ante escenarios así, la respuesta inmediata es técnica y operativa. Por un lado, Anthropic ha liberado parches y es fundamental actualizar Claude Code a las versiones corregidas que cierran estos vectores de ataque. Los avisos y correcciones aparecen en los repositorios de seguridad: revisa los avisos oficiales en GitHub para confirmar la versión que debes aplicar: Advisories. Por otro lado, las buenas prácticas de desarrollo vuelven a tomar protagonismo: manejar credenciales con políticas de menor privilegio, rotar claves comprometidas y evitar usar claves permanentes en entornos de trabajo sin aislamiento son medidas que reducen el impacto si ocurre una fuga.
Además de parches y rotación de secretos, conviene replantear la forma en que se confía en proyectos de terceros. En entornos profesionales, abrir un repositorio desconocido dentro del mismo contexto donde corren herramientas con capacidad de ejecución y red debería requerir contenedores o máquinas virtuales aisladas, entornos efímeros para pruebas o un proceso de verificación que inspeccione los archivos de configuración antes de permitir la inicialización. También es recomendable deshabilitar opciones que activen servidores MCP automáticos o ejecuciones de hooks hasta haber validado su origen.
Más allá de las recomendaciones inmediatas, el caso de Claude Code subraya una transformación más amplia en la superficie de ataque: los archivos de configuración y las capas de automatización pasan a formar parte del plano de ejecución. Lo que antes se percibía como contexto operativo —cómo se orquesta una herramienta— ahora puede determinar comportamientos que afectan la seguridad del sistema. En consecuencia, la cadena de suministro de software en el mundo de las herramientas asistidas por IA no comienza únicamente con el código fuente, sino con las piezas que automatizan, integran y extienden ese código.
Para quien use asistentes de código impulsados por IA, la nota práctica es clara: actualizar, auditar y aislar. Mantenerse informado por fuentes fiables ayuda a medir el riesgo; además del análisis de Check Point, los avisos de seguridad en los repositorios oficiales y la documentación de Anthropic son lecturas obligadas para administradores y desarrolladores interesados en proteger sus entornos. Revisa los informes y los avisos relacionados con estos incidentes en los enlaces de referencia: Check Point Research, el estudio técnico de Check Point (Research) y las advisories de Anthropic en GitHub (No CVE advisory, CVE-2025-59536, CVE-2026-21852).
En última instancia, la historia sirve como recordatorio de que la adopción de herramientas potentes trae ventajas indiscutibles, pero también obliga a repensar la seguridad desde capas que hasta ahora se consideraban inofensivas. Actualizar rápido y diseñar flujos de trabajo que no expongan secretos ni permitan ejecuciones automáticas en entornos no aislados son pasos imprescindibles para aprovechar estas herramientas sin convertirlas en una puerta de entrada para atacantes.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...