1. El próximo cambio de paradigma
Las operaciones ofensivas y los equipos rojos están entrando en un nuevo cambio de paradigma: lo que antes era principalmente impulsado por humanos se está convirtiendo en un sistema autónomo ( ) cada vez más autónomo e impulsado por eventos, mediado a través de marcos de agentes que pueden planificar, actuar y coordinarse con una supervisión mínima. Nuestra investigación sobre el protocolo de contexto de modelo impulsado por Swarm Command-and-Control describe este cambio no como un futuro hipotético, sino como una realidad operativa emergente. En la entrada anterior del blog, el protocolo de contexto de modelo (MCP) se trata como un nuevo sustrato de comando y control (C2) adaptado a la era de los agentes, que permite a los agentes de IA comunicarse con los operadores y entre sí de formas que se parecen cada vez más a la actividad diaria de la IA empresarial.
El clásico comando y control tiene una huella distintiva: señales periódicas, intervalos regulares o irregulares, patrones de infraestructura predecibles y ejecución de tareas a ritmo humano. Los adversarios pueden aleatorizar los temporizadores de suspensión o rotar los dominios C2 , pero los defensores suelen aprovechar el requisito subyacente de que los implantes deben «llamar a casa» con la frecuencia suficiente para que el canal de comunicaciones siga siendo útil. El modelo MCP desafía esta suposición. Es decir, dado que MCP está diseñado para intercambios de corta duración y bajo demanda entre modelos y herramientas externas, admite de forma natural el C2 basado en eventos: los agentes pueden conectarse brevemente para recuperar una tarea, desconectarse para ejecutarla y volver a conectarse solo cuando los resultados o el nuevo contexto estén disponibles. Incluso si el protocolo de comunicaciones de IA en sí mismo es legítimo, la intención de la misión detrás de ese tráfico puede ser maliciosa.
La idea del Swarm C2 refuerza esta ventaja. En lugar de un único agente autónomo que ejecuta una cadena de ataque lineal, se pueden coordinar muchos agentes en paralelo, con especialización o comportamiento basado en funciones. Por ejemplo, un agente puede centrarse en el reconocimiento, mientras que otro se centra en la investigación de vulnerabilidades, y estos descubrimientos se comparten a través del MCP y se recombinan los productos de trabajo a la velocidad de la máquina. La comunicación en enjambre también puede introducir redundancia y variación en el tráfico. En otras palabras, los enjambres de agentes habilitados para MCP no solo automatizan los pasos de las operaciones ofensivas, sino que pueden automatizar el propio modelo operativo. Mientras que antes los atacantes necesitaban personas cualificadas para coordinar continuamente las tareas, interpretar la telemetría y secuenciar las acciones, ahora los enjambres pueden hacer la mayor parte de eso de forma autónoma, dejando el componente humano en el bucle a una figura que especifica los objetivos estratégicos y ocasionalmente interviene en casos extremos.
El cambio que se avecina no solo incluye una mayor velocidad, sino también autonomía, coordinación, un mayor alcance de conocimientos y sigilo.
2. El modelo de amenazas de la nueva era
Como se explica en nuestro artículo, MCP proporciona una estructura de comunicaciones legítima y de bajo ruido. Los enjambres proporcionan paralelismo, adaptabilidad y tolerancia a fallos. En combinación con modelos de razonamiento capaces, crean sistemas ofensivos que se asemejan a operaciones legítimas de IA hasta el momento en que actúan.
Las consecuencias de ello son las siguientes:
- El tráfico C2 se vuelve semánticamente ambiguo: los canales de detección tradicionales buscan patrones de red anómalos: devoluciones de llamada periódicas, dominios sospechosos, agentes de usuario extraños o marcos C2 conocidos. El tráfico MCP, por el contrario, puede ser totalmente legítimo a nivel de transporte e indistinguible del «uso de herramientas de IA» interno. Si una empresa ya está adoptando MCP para agentes de productividad, copilotos de seguridad o asistentes de código, las tareas MCP adversarias pueden mezclarse con el fondo.
- La cadena de ataque se comprime y se superpone: los enjambres de agentes permiten que las operaciones se ejecuten en paralelo en diferentes objetivos, técnicas y entornos. El reconocimiento y el desarrollo de exploits ya no tienen que ser secuenciales; un agente puede investigar un exploit mientras otro ya está probando rutas de movimiento lateral y un tercero está recopilando credenciales.
- La autonomía amplía el modelo de actores maliciosos: la IA puede encargarse de la mayoría de los pasos tácticos, lo que significa que la barrera de entrada es menor para los atacantes (es decir, lo que antes se consideraba un nivel de habilidad propio de un actor malicioso APT, ahora puede ser un script kiddie sin conocimientos técnicos). Además, la carga del operador se reduce, lo que permite más campañas y más objetivos.
Estos tres elementos clave modifican el modelo de amenazas tradicional que se ha utilizado en la mayoría de las operaciones de ciberseguridad.
3. El ataque dirigido por IA de Anthropic: una confirmación en el mundo real
El perfil de amenaza planteado en el artículo fue validado casi inmediatamente por la investigación de Anthropic sobre una campaña de espionaje vinculada al Estado que utilizaba la IA agente como operador principal. Anthropic informa con gran certeza que un grupo patrocinado por el Estado chino (denominado GTG-1002 en los informes públicos) creó un marco autónomo en torno a Claude Code, utilizándolo no como un ayudante, sino como el ejecutor central de la campaña. Hay dos aspectos del caso Anthropic que son especialmente importantes para los defensores:
- El patrón operativo: Según Anthropic, el sistema de IA llevó a cabo la mayoría de las fases de la cadena de ataque: reconocimiento, descubrimiento de vulnerabilidades, investigación y codificación de exploits, recopilación de credenciales, escalada de privilegios, adición de una puerta trasera o punto de apoyo e intento de exfiltración. Los humanos solo intervinieron en una pequeña minoría de decisiones. Los informes estiman que aproximadamente entre el 80 % y el 90 % de las operaciones tácticas fueron gestionadas por la IA, a un ritmo de solicitudes que sería imposible de mantener para un operador humano.
- La estrategia de manipulación: la campaña tuvo éxito inicialmente al desbloquear Claude Code mediante la descomposición deliberada de tareas. Los objetivos maliciosos se dividieron en subtareas aparentemente benignas, enmarcadas como investigación defensiva o pruebas de seguridad rutinarias. Esto se ajusta a un modo de fallo agencial más amplio y preocupante: si un sistema de IA está optimizado para ser útil en tareas localmente razonables, los adversarios pueden ocultar sus intenciones en el gráfico de tareas.
Anthropic también ha reconocido que el panorama de la ciberseguridad ha cambiado debido a estos modelos y marcos de IA. Pero la conclusión lógica no es dejar de lanzar modelos, sino capacitar a los profesionales de la ciberseguridad para que utilicen estos modelos en operaciones defensivas como preparación para ataques como este.
4. ¿Qué viene después?
¿Debemos esperar más ataques de este tipo? Sí. Históricamente, una vez que un actor estatal ha probado una técnica, esta puede difundirse (por ejemplo, EternalBlue a WannaCry).
Además, no todos los adversarios necesitan crear su propio enjambre. Muchos actores maliciosos simplemente envolverán los marcos de agentes disponibles en el mercado alrededor de los manuales existentes: phishing , cadenas de explotación, preparación de ransomware. El problema no es el modelo de IA en sí mismo, sino el creciente ecosistema de servidores MCP, complementos y cadenas de herramientas de agentes. A medida que más empresas exponen herramientas internas a través de MCP con fines legítimos, las mismas interfaces se convierten en atractivas superficies ofensivas.
La literatura sobre seguridad de MCP ya advierte sobre proveedores de contexto no verificados, abuso de cadenas de herramientas y puntos ciegos a nivel de protocolo. MCP como canal de comando y control no debería ser nuestra única preocupación, sino que MCP como cadena de suministro se convertirá en un objetivo de gran valor.
Además, dado que el tráfico MCP se asemeja al tráfico normal diario de IA empresarial, las alertas de detección podrían colisionar cada vez más con el uso normal de la IA. Es aquí donde la postura defensiva debe evolucionar para adaptarse al nuevo cambio de paradigma:
- Detección de intenciones: Para detectar ataques de agentes, será necesario vincular la telemetría del modelo o la herramienta con la identidad, el comportamiento de los puntos finales y las señales de red. La detección tendría que comprender el comportamiento y responder a la pregunta: ¿por qué este agente está ejecutando esta herramienta ahora y se ajusta eso a la identidad y al contexto empresarial?
- Protección de la infraestructura MCP: los servidores MCP deben tratarse como puntos de integración privilegiados de la empresa y protegerse en consecuencia (por ejemplo, aplicando una autenticación estricta, ejecutando herramientas de sandbox, separando el registro de las llamadas de los agentes).
- Suponiendo ataques a velocidad de máquina: los manuales de respuesta a incidentes deben tener en cuenta plazos mucho más ajustados. Esto significa permitir opciones de contención más rápidas y medidas resilientes que detengan las técnicas de movimiento lateral rápido.
Por lo tanto, el mensaje es claro: los enjambres agenticos habilitados para MCP representan la próxima generación de seguridad ofensiva, presentando marcos C2 más sigilosos, una explotación más rápida y una ejecución adaptativa y distribuida. Ahora, los defensores deben asumir que los agentes autónomos forman parte del panorama de amenazas, ya que la línea entre el tráfico de IA empresarial y el tráfico C2 agentico se está volviendo cada vez más difusa.
Se puede encontrar más información sobre este tipo de ataques en el preprint técnico publicado recientemente en Arxiv.