El auge de las herramientas impulsadas por inteligencia artificial está creando un nuevo terreno de caza para los ciberdelincuentes. Esta vez le ha tocado la vaina a Claude Code, el asistente de programación de línea de comandos desarrollado por Anthropic.
No es ninguna primicia.
Desde principios de marzo de 2026 los delincuentes están utilizando los anuncios de Google para ejecutar sitios espejo que imitan perfectamente la documentación oficial de Anthropic.
Básicamente, al copiar un comando de instalación, el usuario ejecuta «voluntariamente» en su máquina un spyware llamado Amatera Stealer.
Este programa malicioso roba datos confidenciales sin activar ninguna alerta por parte del antivirus.
Modus operandi (simplificado)
Los ciberdelincuentes están abusando cada vez más de las técnicas de optimización de motores de búsqueda (SEO) para hacerse pasar por los sitios web de herramientas populares con el fin de distribuir malware.
Todo comienza con un anuncio de Google.
- Una persona quiere instalar la herramienta.
- Escribe «Claude Code install» o «Instalar Claude Code» en un motor de búsqueda.
- En la parte superior de la lista aparece un anuncio patrocinado supuestamente del sitio legítimo de Anthropic.
Pero el enlace en lugar de apuntar a los servidores oficiales de Anthropic, redirige a una infraestructura controlada por los atacantes.
Los delincuentes han clonado la página oficial de instalación de Claude Code con una precisión formidable, reproduciendo de manera idéntica todo su diseño.
El ataque tiene lugar en pocos segundos.
Se basa en un gesto tan «banal» como pegar en el terminal una serie de comandos copiados de un sitio web:
- La futura víctima copia un supuesto comando de instalación.
- Lo pega en el terminal.
- Presiona «Enter».
- PowerShell inicia el proceso.
- La máquina acaba siendo comprometida.
En Windows, el malware se ejecuta a través de cmd.exe que activa mshta.exe para recuperar y ejecutar contenido desde un servidor remoto.
Debido a que mshta.exe es un binario firmado y legítimo en los sistemas Windows, los atacantes abusan bastante de él para ejecutar cargas útiles
En macOS, el comando malicioso extrae una segunda carga codificada en base 64 desde un dominio controlado por el atacante, que a su vez despliega un binario ejecutable.
En ambos casos, no se activa ninguna alerta antivirus, ya que es el propio usuario quien ha iniciado todo el proceso de manera voluntaria.
Conclusión
Esta campaña posiblemente ya ha sido desactivada.
Pero la distribución de malware mediante InstallFix no parecen estar cerca de remitir.
En este caso, la creciente popularidad de las herramientas de inteligencia artificial combinada con la afluencia de usuarios poco experimentados, ofrece a los cibercriminales un grupo de víctimas potenciales en constante expansión.
Pero no solamente con las herramientas de inteligencia artificial.
Cualquier software que sea lo suficientemente popular como para generar tráfico de búsqueda en internet y cuya página de instalación sea susceptible de ser clonada puede convertirse en un señuelo para perpetrar este tipo de ataque.
Puede parecer alarmista o exagerado, pero en nuestra opinión toda la cadena de confianza en la que se basa el ecosistema de desarrollo de software se encuentra hoy en día en el punto de mira de los villanos.
Por lo tanto, hay que tener cuidado al descargar programas de Internet. Especialmente cuando nos piden copiar y pegar comandos que no entendemos.
Tampoco ejecutes comandos copiados de correos electrónicos, foros y portales web a menos que hayas verificado su legitimidad de forma independiente.
