
Un investigador usó Claude de Anthropic para obtener accesos privilegiados en la plataforma y conseguir pases VIP gratuitos.
Las intersecciones entre la inteligencia artificial y la ciberseguridad exhiben claroscuros. Por un lado, los avances en esas tecnologías robustecen a los sistemas de detección temprana de amenazas. En paralelo, el auge de la automatización sofisticó los riesgos, permitiendo ataques que pocos años atrás eran inimaginables. Una nueva muestra involucra a una de las IAs más famosas de la actualidad, Claude. ¿Qué ocurrió? Un investigador de seguridad usó uno de los modelos desarrolados por la startup Anthropic para vulnerar una plataforma online que vende tickets para recitales y festivales de música. “Fue genial ver una entrada de 4.000 dólares y conseguir tantas como quisiera con solo pulsar un botón”, ironizó Ian Carroll, el especialista en ciberseguridad que para esta intrusión utilizó, en concreto, el modelo Claude Opus 4.7 desarrollado por Anthropic. “Podía asistir a todos los eventos sin limitaciones ni restricciones, pases para el backstage o cualquier otro que vendan a los VIP, incluso si las entradas estaban agotadas”, agregó. La plataforma a la que burló fue Front Gate Tickets, que pertenece a la empresa Live Nation Entertainment. Según detalla Wired, en ese sitio se venden entradas para los principales festivales en Estados Unidos, como Lollapalooza, South by Southwest y Bonnaroo. Además de conseguir entradas gratuitas, la falla de seguridad descubierta por Claude permitía acceder a registros de clientes y empleados de la firma. “La IA lo hizo por sí misma”, comentó en relación a los permisos de administrador que consiguió ese sistema dentro del sitio que vulneró. “No te imáginas que estos festivales de música que presumen de estar bien organizados y cuentan con páginas web muy profesionales, en realidad, se sostienen a duras penas”, agregó. Cabe señalar que Carroll no es un atacante. En cambio, es un investigador de ciberseguridad que, como tal, pone a prueba a diferentes servicios digitales para evaluar su robustez y eventualmente descubrir vulnerabilidades, reportándolas a los desarrolladores para que emparchen esas brechas. Así, podemos describirlo como un “hacker de sombrero blanco”, cuyos propósitos no son maliciosos. De hecho, el investigador informó el error a Front Gate. Luego del reporte, la empresa dijo que corrigió el error de seguridad. “El problema fue identificado por un investigador de seguridad responsable que utilizó herramientas asistidas por IA para eludir los controles de seguridad estándar del cortafuegos y acceder a una API interna utilizada por los escáneres de entrada en los festivales, no se trataba de un sistema orientado al consumidor ni de un portal de inicio de sesión público”, señaló la compañía en un comunicado. “Esto se resolvió en menos de 24 horas, y podemos confirmar que no hay indicios de que se haya aprovechado la vulnerabilidad, ni de que haya afectado a las entradas, ni de que se haya visto comprometida la información de los clientes”, agregaron desde Front Gate. Leé también: “La inteligencia artificial puede atacar severamente a gobiernos”, advirtió el FBI y sus aliadosCarroll es parte del Programa de Verificación Cibernética de Anthropic, que permite a especialistas en ciberseguridad emplear herramientas para funciones de hacking. En diálogo con la mencionada publicación, la startup detrás de Claude comentó que esa iniciativa “pone a disposición de los defensores capacidades avanzadas, para que puedan llevar a cabo precisamente este tipo de investigaciones que ayudan a que el código del mundo sea más seguro”. En ese sentido, notaron que si Carroll no hubiera sido parte del programa, su uso de Claude para vulnerar a la ticketera habría sido detectado y frenado.