Claude Code y ciberseguridad: el fallo que ejecutaba comandos en tu ordenador sin que lo supieras

Claude Code tenía una vulnerabilidad. Conoce cómo evitar el problema. Foto: Generado por Gémini.

Un investigador de seguridad descubrió que la herramienta de programación con IA de Anthropic tenía una puerta trasera involuntaria. Con solo abrir un enlace manipulado, un atacante podía tomar el control de tu máquina. Aquí te explicamos qué pasó, si sigues en riesgo y qué deberías hacer ahora.

Imagina recibir un enlace por correo, hacer clic, y que en ese momento alguien más empiece a ejecutar programas en tu ordenador sin que te enteres. Eso era exactamente lo que permitía un fallo recién descubierto en Claude Code, el asistente de programación de Anthropic que usan miles de desarrolladores en el mundo.

La vulnerabilidad, identificada a finales de mayo de 2026, no requería de un hacker sofisticado ni de un ataque elaborado. Bastaba con un enlace bien diseñado para que la herramienta hiciera el trabajo sucio sola.

Quién lo descubrió y cómo funciona el fallo

El hallazgo es obra de Joern “Joernchen” Schneeweisz, ingeniero de seguridad de GitLab, quien publicó los detalles técnicos en su blog personal . Según el análisis, el origen del problema está en cómo Claude Code procesa ciertos parámetros de configuración cuando arranca: la herramienta tiene un mecanismo que lee ajustes antes de que el programa termine de iniciarse, pero lo hace de forma demasiado confiada, buscando esos ajustes en cualquier parte del comando de arranque sin verificar si lo que encuentra es realmente una instrucción legítima.

En términos más sencillos: la herramienta no distinguía entre una orden real y texto disfrazado de orden. Y eso, combinado con su capacidad para ejecutar comandos en tu sistema, abría una ventana peligrosa.

Claude Code permite abrir proyectos a través de enlaces especiales con el prefijo claude-cli://, los cuales pueden incluir texto para precargar el prompt de la herramienta. Un atacante podía colar instrucciones de configuración maliciosas dentro de ese texto, y Claude Code las interpretaría como órdenes reales sin cuestionarlas.

Como resultado, era posible configurar la herramienta para que ejecutara cualquier comando en el ordenador en el momento en que se abría la sesión, sin avisos ni confirmaciones. El ejemplo que publicó el investigador como prueba abría la app Calculadora en macOS y escribía un archivo en disco con información del sistema, todo automáticamente y con un solo clic.

El detalle más preocupante: la advertencia que desaparecía

Una de las características más peligrosas de este fallo tiene que ver con una segunda vulnerabilidad encadenada. Claude Code muestra normalmente un aviso cuando intentas abrir un proyecto que no reconoce, dándote la oportunidad de decidir si confías en él. Sin embargo, si el enlace malicioso incluía el nombre de un proyecto que ya tenías guardado y marcado como seguro en tu ordenador, ese aviso desaparecía por completo.

Dicho de otro modo: si un atacante sabía qué proyectos tenías descargados, podía construir un enlace específicamente diseñado para saltarse esa protección. Sin ninguna señal de alerta visible para el usuario.

¿Anthropic sabía? ¿Cómo reaccionó?

El caso no ocurrió de forma aleatoria. Apenas semanas antes, el pasado 31 de marzo, 512.000 líneas de código TypeScript de Anthropic quedaron expuestas públicamente en el registro npm durante horas, producto de un error de empaquetado humano, no de un hackeo sofisticado, que permitió que cualquier persona descargara el código fuente completo de Claude Code, incluyendo 44 feature flags ocultos y referencias a un modelo no lanzado llamado Mythos.

También puedes leer este 👉 Víctor Cárdenas, el caraqueño detrás de Slash: Su ‘unicornio’ mueve más de 1.000 millones de dólares

Anthropic declaró oficialmente que fue “un problema de empaquetado causado por error humano, no una brecha de seguridad”. Aun así, la comunidad de ciberseguridad reaccionó con intensidad, porque ambos incidentes juntos revelan algo incómodo: incluso las empresas de IA mejor financiadas pueden fallar en controles básicos. Frente a la vulnerabilidad de ejecución remota, la respuesta de Anthropic fue más ágil. La compañía corrigió el fallo en la versión 2.1.118 de Claude Code.

¿Sigues en riesgo? Cómo verificarlo en 30 segundos

La buena noticia es que el problema tiene solución directa. Si usas Claude Code, puedes comprobarlo ahora mismo: abre la terminal y escribe claude –version. Si el número que aparece es inferior a 2.1.118, actualiza de inmediato.

No hace falta entrar en pánico, pero tampoco conviene dejarlo para después. Este tipo de vulnerabilidades, conocidas en el sector como RCE (ejecución remota de código), se consideran de las más graves precisamente porque no requieren ninguna interacción especial de la víctima más allá de hacer clic en un enlace.