El rastreador oculto de Claude Code fue un «experimento», afirma Anthropic

| 7 de julio de 2026
Logotipo de Claude

Como desarrollador, quieres utilizar herramientas en las que puedas confiar y con las que puedas contar. Un investigador se tomó esa idea tan en serio que decidió analizar minuciosamente su instalación local de Claude Code (2.1.196). Para los desarrolladores que utilizan asistentes de IA con acceso a su código, sus archivos y su terminal, comprender qué hacen esas herramientas entre bastidores está cobrando tanta importancia como evaluar sus capacidades de programación.

Cuando concedes a un asistente de programación basado en IA acceso al shell, al sistema de archivos y al repositorio, ya estás asumiendo un riesgo calculado. Esperas que haya errores, quizá incluso algo de telemetría, pero no un canal oculto que codifique en silencio el destino de tu tráfico y quién podría estar vigilando al otro lado.

Eso es precisamente lo que descubrió el desarrollador independiente «Thereallo» al realizar ingeniería inversa en el cliente Claude Code de Anthropic. Escondida en el paquete de JavaScript minificado había una función que tomaba la línea, por lo demás inofensiva, «Today’s date is 2026‑06‑30.» y lo convirtió en un marcador oculto para el back-end de Anthropic, en función del punto final de la API del usuario y la zona horaria del sistema.

Para los usuarios y la mayoría de los desarrolladores que leían los registros, el texto seguía pareciendo inglés corriente. Solo alguien que examinara el código Unicode sin procesar o el propio back-end de Anthropic podría detectar la señal codificada que se activaba si la zona horaria local estaba configurada en Asia/Shanghái o Asia/Urumqi.

Una vez que la noticia se difundió a través de las redes sociales y los medios de comunicación, Anthropic reconoció la existencia del código y actuó con rapidez para eliminarlo, pero aún no ha publicado un análisis detallado y público dedicado a esta función.

Según se ha informado, un ingeniero de Anthropic confirmó en X el marcador era «un experimento que pusimos en marcha en marzo» con el objetivo de evitar el uso indebido de las cuentas por parte de revendedores no autorizados y de proteger contra la «destilación». Es posible que esto se debiera a la decisión del Gobierno de EE. UU., el 12 de junio, de suspender el acceso a los modelos para los ciudadanos extranjeros, alegando motivos de seguridad nacional. Estas restricciones a la exportación se levantaron el 30 de junio.

Otra posible razón podría ser recabar más información sobre los ataques de «destilación» chinos de los que se ha informado, que suponen una grave amenaza para la seguridad nacional de EE. UU. y socavan las normas de seguridad de la IA.

¿Quién tiene que preocuparse?

Anthropic se ha visto envuelta en una disputa muy pública en torno a los «ataques de destilación». Se trata de campañas en las que, supuestamente, los adversarios reproducen o utilizan de forma indirecta los resultados de los modelos para entrenar sistemas competidores, a menudo desde jurisdicciones con una protección de la propiedad intelectual más débil. Los laboratorios de IA vinculados a China y los intermediarios han ocupado un lugar destacado en esas acusaciones, y las noticias describen cómo algunos distribuidores no autorizados revenden el acceso a Claude con importantes descuentos.

Alibaba ya ha prohibido Claude Code por este motivo. Alibaba no solo es uno de los mayores minoristas y empresas de comercio electrónico del mundo, sino que además fue clasificada como la quinta empresa de inteligencia artificial más grande del mundo en 2020.

Los desarrolladores que teman ser objeto de ataques pueden:

  • Registra los hash y las versiones de los clientes de IA utilizados en entornos sensibles, y evita las actualizaciones automáticas sin realizar, como mínimo, una revisión superficial.
  • Utiliza la inspección de red para capturar todas las solicitudes dirigidas a las API de IA en entornos de prueba y, a continuación, analízalas en busca de indicadores ocultos o inesperados, incluidas las anomalías Unicode en las indicaciones del sistema.

Como demuestra este caso, la decisión de un solo proveedor puede hacer que una herramienta en la que antes se confiaba resulte inaceptable para algunas organizaciones. Mantén la flexibilidad y evita las dependencias estrictas de un único asistente de IA.


Navega como si nadie te estuviera mirando. 

Malwarebytes Privacy VPN tu conexión y nunca registra lo que haces, así que la próxima noticia que leas no tiene por qué parecerte algo personal.Pruébalo gratis → 

Acerca del autor

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.