Kimi Code Moonshot
Kimi Code Moonshot
TecnologíaÚltimas noticias

Claude Code vulnerabilidad crítica: cualquiera ejecutaba comandos en tu ordenador solo abriendo un enlace

Un investigador de seguridad publicó que un simple enlace claude-cli:// podía ejecutar comandos sin avisar. Anthropic ya ha lanzado el parche 2.1.118, así que si no has actualizado, corre a hacerlo.

Juan Fernández

Que alguien le quite el martes a Claude Code. Un investigador de GitLab acaba de demostrar que abrir un simple enlace malicioso podía ejecutar cualquier comando en tu ordenador. Sí, tal cual suena: un clic y adiós a tu tranquilidad.

El fallo lo destapó Joern 'Joernchen' Schneeweisz, ingeniero de seguridad de GitLab, en su blog personal. Y la cosa es gorda: un atacante podía colar instrucciones de configuración dentro de un enlace con prefijo claude-cli:// y Claude Code, tan confiado como tu abuela cuando le dices que esta vez no le vas a estafar, las interpretaba como órdenes legítimas. Sin preguntar. Sin avisar. Sin piedad.

La trampa del enlace que parecía inofensivo

El meollo está en cómo Claude Code procesa los parámetros de arranque. La herramienta permite abrir proyectos mediante enlaces especiales que incluyen un texto para precargar el prompt. Nada raro hasta ahí. El problema es que ese texto no se revisa lo suficiente: si alguien mete instrucciones de configuración maliciosas camufladas entre los caracteres, el sistema las ejecuta como si fueran suyas. Así de fácil.

Publicidad

Schneeewisz publicó una prueba de concepto que abría la app Calculadora en macOS y escribía un fichero con información del sistema. Todo sin que el usuario tuviera que confirmar nada. Vamos, que si te mandan un enlace por correo o por Slack y lo abres, estás vendido.

El fallo de diseño que se saltaba hasta el aviso de confianza

Claude Code suele mostrar una advertencia cuando intentas abrir un proyecto que no reconoces. Un momento de cordura digital, digamos. Pero el exploit se la saltaba a la torera. Si el enlace malicioso incluía el nombre de un proyecto que ya tenías guardado y marcado como seguro, esa advertencia desaparecía. La puerta de atrás quedaba completamente abierta.

En la práctica, un atacante que supiera qué proyectos tienes descargados podía construir un enlace a medida para que ni te enterases. Y encima, sin necesidad de que hicieras nada más que pinchar en él. El resultado: ejecución remota de comandos (RCE) sin confirmación. Como para ponerse a revisar el historial de enlaces del último mes.

La confianza ciega en el texto que recibe del usuario es el equivalente digital a dejar la puerta de casa abierta con un cartel de 'no toques nada'.

Anthropic ya ha parcheado, pero no te duermas

La buena noticia es que la versión 2.1.118 corrige el desaguisado. Si usas Claude Code, abre la terminal, escribe claude --version y comprueba que el número sea igual o superior. Si no lo es, actualiza ya. No es una recomendación; es una cuestión de supervivencia digital.

El problema de fondo no es solo de Claude Code. Cualquier herramienta que confíe ciegamente en el texto que recibe sin verificar su origen está expuesta a lo mismo. Esto ya lo vimos con asistentes de IA que se tragaban instrucciones ocultas en páginas web (los famosos prompt injections) y con plugins que permitían ejecutar código sin preguntar. La historia se repite, pero esta vez el riesgo era directo sobre tu máquina, no solo sobre un chat.

No es la primera vez que una IA se cree todo lo que le cuentan

Recordemos a Tay, el bot de Microsoft que se volvió racista en 24 horas porque Twitter le enseñó lo peor. O los jailbreaks de ChatGPT que conseguían que la IA generase instrucciones para hacer bombas. El denominador común es siempre el mismo: un sistema que confía en la entrada del usuario sin suficientes salvaguardas. En el caso de Claude Code, la confianza era a nivel de sistema operativo, lo que multiplica el peligro.

La diferencia aquí es que Anthropic sí ha reaccionado rápido, sin esa parsimonia corporativa que vemos en otras ocasiones. El parche ha llegado en pocos días, y eso se agradece. Pero la lección queda: cada vez que una herramienta de IA promete ejecutar cosas por nosotros, el riesgo de que alguien la ponga a ejecutar cosas contra nosotros es real. Sobre todo si esa herramienta tiene acceso a nuestra terminal sin pedir permiso.

Publicidad

Hype-O-Meter

Nivel de hype: 8.5/10. Un fallo RCE con un clic y sin aviso previo es el sueño húmedo de cualquier atacante. La gravedad se atenúa porque Anthropic lo ha parcheado rápido, pero si no actualizas, aún eres un blanco fácil — y eso te convierte en la persona que se olvida de cerrar la puerta del coche en el barrio equivocado.

El resumen para vagos (TL;DR)

  • 🎯 ¿Qué ha pasado? Un enlace malicioso de Claude Code podía ejecutar comandos en tu ordenador sin avisar.
  • 🔥 ¿Por qué importa? Era un RCE de libro, con posibilidad de saltarse advertencias de seguridad si sabían qué proyectos tenías.
  • 🤔 ¿Nos afecta o es solo un meme? Afecta si tienes instalada una versión anterior a la 2.1.118. Si ya actualizaste, tranqui, pero no te olvides de que las IAs siguen siendo demasiado confiadas.
Artículo anterior
El papel clave de 'Los Javis' para impulsar un cine inclusivo y valiente
Los Javis revelan su futuro juntos: un proyecto en inglés y español tras Cannes
Publicidad