Marc Sureda
Check Point Research, la división de inteligencia de amenazas de Check Point Software Technologies, ha identificado vulnerabilidades críticas en Claude Code. La herramienta de desarrollo asistido por inteligencia artificial de Anthropic, que posibilitaban la ejecución remota de código y el robo de claves a través de archivos de configuración manipulados. Estos archivos maliciosos se encontraban incluidos de forma oculta en repositorios de proyectos que aparentemente no presentaban ninguna amenaza.
Las vulnerabilidades, registradas bajo los identificadores CVE-2025-59536 y CVE-2026-21852, podían activarse de manera automática al clonar y abrir un proyecto no confiable en el entorno de desarrollo, sin requerir ninguna acción adicional ni la ejecución de código explícito por parte del profesional informático. Este hallazgo pone de manifiesto una alteración profunda en el modelo de amenazas que afecta a la cadena de suministro del software. Un fenómeno directamente impulsado por la adopción de herramientas de desarrollo basadas en sistemas autónomos.
La configuración del entorno como vector de ataque activo
El diseño original de Claude Code buscaba facilitar la colaboración integrando los archivos de configuración a nivel de proyecto en los propios repositorios, aplicándolos automáticamente al iniciar el entorno de trabajo. Los analistas descubrieron que dichos archivos, que históricamente se han considerado simples metadatos inofensivos, tenían la capacidad de funcionar como una capa de ejecución activa. De este modo, al abrir un repositorio comprometido, se ejecutaban comandos ocultos en el sistema del usuario, se eludían los mecanismos de consentimiento y se extraían claves de las interfaces de programación de aplicaciones de Anthropic. Permitiendo al atacante escalar el impacto desde el equipo local hacia espacios de trabajo corporativos compartidos sin dejar rastros visibles.
Los especialistas categorizaron estos riesgos operacionales en tres grandes bloques funcionales que afectan a la arquitectura del sistema. El primer bloque comprende la ejecución silenciosa de comandos mediante mecanismos de automatización que inician acciones al arrancar una sesión, los cuales podían ser abusados para lanzar instrucciones arbitrarias sin interacción del usuario. El segundo bloque, asociado al fallo CVE-2025-59536, radica en la elusión del consentimiento del usuario dentro del protocolo de contexto de modelos utilizado para inicializar integraciones externas. Ciertas configuraciones permitían ejecutar acciones antes de obtener la aprobación explícita del desarrollador, lo que trasladaba la autoridad del usuario hacia el repositorio. El tercer riesgo detectado, documentado como CVE-2026-21852, consistía en la sustracción de claves de acceso antes de la confirmación de confianza, logrando redirigir el tráfico de red y las cabeceras de autorización hacia servidores controlados por terceros no autorizados.
El compromiso de una sola clave operativa en los entornos de trabajo colaborativos de Anthropic otorga a un ciberdelincuente la capacidad de acceder a documentos compartidos, modificar o eliminar información alojada en la nube, introducir código perjudicial en los proyectos y generar costes de facturación no autorizados por el uso del servicio. En estos nuevos ecosistemas tecnológicos, la exposición de una credencial puede derivar rápidamente en un incidente de escala organizativa.
Para remediar esta situación, los investigadores trabajaron de forma coordinada con el fabricante durante el proceso de divulgación responsable, logrando implementar medidas correctivas que bloquean las herramientas externas y las comunicaciones de red hasta que el usuario confirma explícitamente la confianza en el proyecto. Todas las brechas de seguridad identificadas fueron solucionadas antes de que la información se hiciera pública.
La rápida integración de estas nuevas tecnologías en los procesos empresariales exige a los responsables de sistemas replantear los esquemas tradicionales de protección informática. En un contexto donde la mera configuración de un entorno tiene la capacidad de ejecutar procesos, comunicarse con el exterior y tomar decisiones, los sistemas de defensa corporativos deben evolucionar para proteger no solo el código fuente, sino todas las capas de automatización subyacentes.
