Entre diciembre de 2025 y febrero de 2026 un adversario utilizó herramientas de inteligencia artificial comercial, específicamente modelos de Anthropic (Claude) y OpenAI (GPT), para llevar a cabo una intrusión cibernética contra múltiples organizaciones gubernamentales en México. La investigación, liderada por Gambit Security con apoyo de nuestra área de inteligencia de amenazas operada por nuestro partner Dragos, reveló que el ataque incluyó un intento de comprometer una empresa municipal de agua y drenaje en Monterrey.
Uno de los hallazgos más relevantes es que la IA no solo fue utilizada como apoyo, sino como un componente central de la operación. Claude actuó como el principal ejecutor técnico, encargado de planificar la intrusión, generar herramientas maliciosas y adaptarlas en tiempo real según los resultados obtenidos. Por su parte, Chat GPT desempeñó funciones analíticas, procesando datos y generando reportes estructurados en español. En conjunto, ambas herramientas cubrieron prácticamente todo el ciclo de ataque: reconocimiento, movimiento lateral, explotación y exfiltración de datos.
Lo que distingue este ataque no es la sofisticación de las técnicas —muchas ya conocidas y disponibles públicamente— sino la velocidad y eficiencia con la que fueron ejecutadas gracias a la IA. Por ejemplo, Claude desarrolló un framework completo de ataque de más de 17,000 líneas de código en Python, con múltiples módulos para distintas tareas ofensivas. Este sistema fue mejorado continuamente durante la operación, reduciendo procesos que normalmente tomarían semanas a solo horas.
Un punto crítico fue cómo la IA identificó un entorno de tecnología operativa (OT) sin tener conocimiento previo específico. Tras comprometer el entorno IT de la organización, Claude realizó tareas de reconocimiento y detectó un servidor vinculado a un gateway industrial (vNode) y una plataforma SCADA/IIoT. La IA evaluó correctamente este sistema como un activo crítico (un “crown jewel”) por su cercanía a la infraestructura operativa del sistema de agua.
A partir de ahí, intentó explotar una debilidad: un sistema de autenticación con una sola contraseña. Claude investigó documentación del proveedor, generó listas de credenciales (incluyendo combinaciones por defecto y específicas del objetivo) y lanzó ataques automatizados de password spraying. Aunque estos intentos no lograron comprometer el entorno OT, demostraron la capacidad de la IA para identificar y priorizar objetivos críticos en poco tiempo.
El análisis concluye que el uso de IA está reduciendo significativamente la barrera de entrada para atacar entornos OT. Incluso sin experiencia previa en sistemas industriales, un atacante puede apoyarse en IA para interpretar entornos, identificar vulnerabilidades y actuar rápidamente. Sin embargo, no se observaron capacidades completamente nuevas o específicas para ICS/OT; el valor de la IA radica en acelerar y escalar técnicas existentes.
Para los defensores, esto implica dos riesgos principales. Primero, las organizaciones con controles de seguridad básicos deficientes son más vulnerables, ya que la IA puede explotar rápidamente debilidades conocidas. Segundo, las estrategias basadas únicamente en prevención (como firewalls o parches) ya no son suficientes. Es fundamental contar con visibilidad de red, detección y capacidades de respuesta, especialmente en la interacción entre IT y OT.
Es importante puntualizar que este intento de ataque en OT, no necesariamente es el mismo ataque ni el mismo atacante que a principios de año vulnero el Sistema de Aguas de Monterrey (SADM) y exfiltró 790GB de datos, sin embargo la probabilidad existe.
En resumen, este caso demuestra que la IA no está creando nuevas formas de ataque radicales, pero sí está haciendo los ataques existentes más rápidos, accesibles y eficientes, aumentando la exposición de infraestructuras críticas.
