Actores maliciosos usan Claude AI para atacar infraestructura de agua en México

La firma de ciberseguridad industrial Dragos reveló que actores de amenaza emplearon Claude, el modelo de inteligencia artificial de Anthropic, para guiar una intrusión contra una empresa de agua y drenaje en México. El incidente marca un punto de inflexión: la IA generativa ya no es solo una herramienta defensiva; también está siendo instrumentalizada por atacantes para comprometer infraestructura crítica.

Cómo funcionó el ataque

Según el análisis de Dragos, los atacantes utilizaron Claude como asistente de reconocimiento. Al interactuar con el modelo, lograron identificar rutas de acceso hacia los sistemas de tecnología operacional (OT) de la empresa, incluyendo controladores lógicos programables (PLC) y plataformas SCADA que supervisan el suministro de agua y el tratamiento de aguas residuales.

El modelo de IA no fue comprometido ni actuó de forma maliciosa por cuenta propia. Los atacantes lo usaron como una capa de consultoría técnica: le formularon preguntas sobre arquitecturas industriales, vectores de ataque comunes y configuraciones típicas de redes OT para acelerar su reconocimiento y reducir el tiempo necesario para moverse lateralmente dentro de los sistemas.

Por qué la infraestructura hídrica es un objetivo de alto valor

Las plantas de agua y drenaje son consideradas infraestructura crítica en cualquier país. Una interrupción en los sistemas de control puede traducirse en cortes de suministro, contaminación del agua potable o desbordamientos de aguas residuales, con consecuencias directas para la salud pública.

• Alta dependencia de sistemas legacy: Muchas plantas operan con software industrial de décadas de antigüedad, difícil de parchear sin detener operaciones.
• Escasa segmentación de red: En instalaciones más pequeñas, los sistemas OT y la red corporativa suelen estar conectados, facilitando el movimiento lateral.
• Impacto inmediato en la población: A diferencia de un ataque a una empresa tecnológica, comprometer una planta de agua afecta directamente a ciudadanos.

La IA como multiplicador de capacidades ofensivas

Este incidente no es aislado. Investigadores de ciberseguridad llevan meses advirtiendo que los modelos de lenguaje de gran escala pueden reducir significativamente la barrera de entrada para ataques técnicos. Un atacante con conocimientos básicos puede ahora consultar a un modelo de IA para comprender arquitecturas industriales, generar scripts de reconocimiento o identificar vulnerabilidades en productos específicos.

Anthropic, creadora de Claude, ha implementado salvaguardas para bloquear solicitudes que busquen facilitar daños reales. Sin embargo, los atacantes documentados en este caso lograron extraer información técnica suficiente al formular preguntas aparentemente legítimas sobre ingeniería industrial.

"La IA está democratizando las capacidades ofensivas de la misma manera en que lo hizo el acceso a internet en los años noventa. La diferencia es la velocidad de adopción."

Implicaciones para las organizaciones mexicanas

México ocupa el lugar 11 en el ranking global de víctimas de ransomware, y los sectores de energía, agua y manufactura son objetivos frecuentes. Este incidente subraya la urgencia de varias medidas concretas para las empresas de servicios públicos en el país:

• Segmentación de redes OT/IT: Aislar los sistemas de control industrial de la red corporativa y del acceso a internet.
• Monitoreo continuo de activos OT: Implementar soluciones especializadas capaces de detectar comportamientos anómalos en entornos industriales.
• Capacitación del personal: Los ingenieros de planta deben estar familiarizados con vectores de ataque modernos, incluyendo los asistidos por IA.
• Planes de respuesta a incidentes: Definir procedimientos claros para aislar sistemas comprometidos sin interrumpir el servicio a la población.

El contexto regulatorio en México

A diferencia de la Unión Europea, que cuenta con la Directiva NIS2, o Estados Unidos, con el marco del NIST para infraestructura crítica, México carece de una regulación federal específica y vinculante para la ciberseguridad de sistemas industriales. La Estrategia Nacional de Ciberseguridad publicada en 2017 no ha tenido una actualización significativa que contemple el panorama actual de amenazas, incluyendo el uso de IA por actores maliciosos.

El incidente documentado por Dragos debería ser una señal de alerta para reguladores, operadores de infraestructura y responsables de políticas públicas: la convergencia entre la IA y las amenazas cibernéticas a infraestructura crítica es una realidad que ya está ocurriendo en suelo mexicano, no una amenaza futura.