"Agentjacking": el nuevo ataque que convierte tu asistente de IA en un arma contra ti mismo
Un informe de seguridad demuestra cómo engañar a Claude Code, Cursor y Codex para que ejecuten código malicioso. Sin malware, sin contraseñas robadas. Tasa de éxito del 85% y casi 2.400 organizaciones expuestas.
Por DidadoY
/ En esta noticia
Una nueva clase de ataque para una nueva clase de herramienta
El 9 de junio de 2026, la firma de seguridad Tenet Security hizo pública una investigación que debería preocupar a cualquiera que use asistentes de programación con IA. La llaman "agentjacking" —secuestro de agentes— y describe una forma de engañar a las herramientas de codificación más populares del mercado para que ejecuten código de un atacante.
Los agentes afectados no son menores: Claude Code, Cursor y Codex, las tres herramientas que millones de desarrolladores usan a diario. En pruebas controladas, el ataque tuvo una tasa de éxito del 85%. Los investigadores identificaron 2.388 organizaciones expuestas, desde desarrolladores en solitario hasta una empresa tecnológica valorada en 250.000 millones de dólares.
Lo más inquietante no es el ataque en sí. Es lo que revela sobre cómo funcionan estas herramientas.
El problema de fondo: la IA no distingue datos de órdenes
Para entender por qué esto importa, hay que entender una limitación de los agentes de IA que pocos usuarios tienen presente.
Cuando le pides a un asistente como Claude Code que "arregle los errores pendientes", el agente consulta herramientas externas —en este caso, plataformas de seguimiento de errores— para ver qué falla. El problema es que el agente trata todo lo que recibe de esas herramientas como información de confianza, como si se la hubiera dado el propio sistema.
Aquí está el fallo conceptual: el agente no puede distinguir entre un error real generado por un fallo de la aplicación y un error fabricado por un atacante. Para la IA, ambos se ven exactamente igual. Y si dentro de ese "error" hay instrucciones disfrazadas de pasos para solucionarlo, el agente puede acabar ejecutándolas con todos los permisos del desarrollador, en la propia máquina del desarrollador.
Es una variante de lo que en seguridad se llama "inyección indirecta de instrucciones": el atacante no le habla directamente a la IA, sino que le deja un mensaje en un sitio donde sabe que la IA va a leerlo y obedecerlo.
Por qué las defensas tradicionales no sirven
Esta es la parte que hace el ataque especialmente difícil de parar, y por la que los expertos lo consideran un problema estructural y no un simple bug.
Tenet probó el ataque contra sistemas de seguridad reales y documentó qué fallaba: antivirus avanzados, cortafuegos, VPNs, sistemas de gestión de identidad. Todos guardaron silencio.
¿La razón? Cada paso del ataque está autorizado. El agente tenía permiso para consultar la herramienta. El desarrollador le había pedido que arreglara errores. El agente tenía permiso para ejecutar comandos. No hay nada "malicioso" que detectar en el sentido clásico, porque técnicamente todo lo que ocurre es una acción permitida. Tenet lo llama la "cadena de intención autorizada".
Dicho de otro modo: las herramientas de seguridad están entrenadas para detectar accesos no autorizados. Aquí todo está autorizado —solo que sucede en el orden equivocado y con un propósito que nadie aprobó.
La respuesta incómoda de la plataforma afectada
Tenet comunicó el problema de forma responsable a la plataforma de seguimiento de errores implicada el 3 de junio, antes de hacerlo público.
La respuesta fue reveladora. La empresa reconoció el problema, pero declinó solucionarlo de raíz, calificándolo de "técnicamente no defendible" en su capa. Su argumento tiene lógica incómoda: no pueden saber qué texto, dentro de millones de informes de error legítimos enviados por usuarios, es malicioso para un agente de IA concreto. Los informes de error legítimos contienen, de forma natural, fragmentos de código y notas de solución. Filtrar eso sin romper la herramienta es casi imposible.
Como medida parcial, activaron un filtro que bloquea el patrón específico usado en la demostración. Pero reconocen que la clase de ataque, en general, sigue ahí.
Su conclusión apunta a los fabricantes de los modelos: el único sitio donde se puede frenar esto es en el propio agente, en el momento en que decide actuar.
Lo que esto significa para quien usa estas herramientas
Sin alarmismo, pero con claridad: si usas un asistente de IA conectado a herramientas externas, esto te concierne. Estas son las recomendaciones que se desprenden del informe y de las buenas prácticas del sector.
Trata la salida de herramientas externas como información no fiable. El error conceptual es asumir que lo que devuelve una integración es de confianza. No lo es más que cualquier texto de internet.
Añade una capa de revisión humana. Antes de que el agente ejecute comandos sugeridos a partir de datos externos, conviene que una persona valide qué se va a ejecutar. La comodidad de la automatización total tiene un coste de seguridad.
Desconecta las integraciones que no estés usando activamente. Cada herramienta externa conectada a tu agente es una posible vía de entrada. Si no la necesitas ahora mismo, desactívala.
Revisa qué permisos tiene tu agente. Cuanto más amplio sea el acceso del asistente a credenciales, claves y repositorios, mayor es el daño potencial si algo sale mal.
La propia Tenet ha publicado configuraciones de código abierto para endurecer Cursor y Claude Code frente a este tipo de ataques, disponibles en su repositorio.
La lectura sin humo
El "agentjacking" no es solo un fallo técnico curioso. Es un síntoma de algo más grande, y por eso merece atención más allá de la comunidad de desarrolladores.
Durante años, la industria ha vendido los agentes de IA por su autonomía: pueden leer, decidir y ejecutar sin que tengas que supervisar cada paso. Esa autonomía es justo lo que los hace útiles —y, como demuestra este caso, justo lo que los hace peligrosos. Cuanta más capacidad de actuar por su cuenta le das a un sistema que no distingue un dato de una orden, más grande es la superficie de ataque.
No es un argumento para dejar de usar estas herramientas, que aportan un valor real. Es un recordatorio de que la confianza ciega en la automatización tiene un precio. La paradoja de fondo la resume bien el informe: los desarrolladores se han entrenado a sí mismos para fiarse de su asistente de IA, y esa confianza es exactamente lo que el ataque explota.
En la era de los agentes, la pregunta de seguridad ya no es solo "¿quién tiene acceso a mi sistema?", sino "¿en qué está confiando mi IA cuando actúa en mi nombre?".
Fuentes: The Hacker News · Infosecurity Magazine · The New Stack · Tenet Security (informe original) — junio 2026
¿Te ha servido? Recíbelo cada día.
Lo importante de IA y tecnología, claro y sin humo, en tu bandeja de entrada. Gratis.
/ Seguir leyendo
El primer ransomware ejecutado por una IA ya es real: qué pasó de verdad (y por qué el titular viral exagera)
Investigadores documentan el primer ataque de extorsión en el que una IA hizo el trabajo técnico sola. Es un hito inquietante. Pero "sin ningún humano detrás" no es del todo cierto, y la diferencia importa.
Por DidadoY
Hoy es el último día para usar Fable 5 gratis: qué cambia mañana y cómo evitar sustos en la factura
Desde mañana, 8 de julio, el modelo más potente de Anthropic deja de estar incluido en las suscripciones de Claude. Si lo usas sin enterarte, puede salirte caro. Lo que necesitas saber, claro y al grano.
Por DidadoY
Android 17 ya está aquí: todo lo que cambia en tu móvil a partir de hoy
Google lanzó hoy Android 17 para Pixel. Burbujas flotantes, IA en llamadas, reacciones en pantalla y más seguridad. Lo que viene a tu Android y cuándo.
Por DidadoY