Los hechos: autonomía sin precedentes

En septiembre de 2025, Anthropic detectó y desmanteló “!GTG-1002”, un grupo de ciberespionaje que según la propia empresa estaría patrocinado por el Estado chino, que utilizó Claude Code para ejecutar autónomamente el 80-90% de las operaciones tácticas en ataques contra aproximadamente 30 entidades: corporaciones tecnológicas, instituciones financieras, agencias gubernamentales.

Lo inédito: Claude no asesoró, ejecutó. El operador humano solo intervenía en tres momentos estratégicos: aprobar escalar de reconocimiento a explotación activa; autorizar uso de credenciales robadas para movimiento lateral; decidir alcance de exfiltración de datos. Todo lo demás, desde descubrir vulnerabilidades hasta extraer y categorizar información clasificada, lo realizó la IA autónomamente durante días, manteniendo contexto operacional entre sesiones y ejecutando miles de solicitudes a ritmo de múltiples operaciones por segundo.

Cómo eludieron las salvaguardias: Mediante “role-playing” (asunción de roles). Los operadores convencieron a Claude de que trabajaban para una firma legítima de ciberseguridad realizando pruebas de ataque autorizadas (pentesting: simulación de ciberataques para identificar vulnerabilidades antes que atacantes reales las exploten). No explotaron una vulnerabilidad técnica del modelo, sino una brecha epistémica: manipularon el contexto narrativo que Claude usa para interpretar solicitudes.

Limitación operativa: Claude frecuentemente alucinó resultados, afirmando haber obtenido credenciales que no funcionaban o identificando descubrimientos "críticos" que resultaron ser información pública. Esto obligó al atacante a mantener validación humana en momentos clave, fragmentando la supuesta autonomía total.

Nivel 1: Atribución y responsabilidad penal en la era de agentes autónomos

El problema de la autoría mediata

Cuando el 80-90% del “acto delictivo” lo ejecuta un agente autónomo, la imputación subjetiva tradicional colapsa. En derecho penal argentino (CP art. 45, participación criminal), ¿el operador humano que aprueba escalar de reconocimiento a explotación activa es autor mediato, instigador o partícipe necesario? ¿La IA es "instrumento"?

Sin ser penalistas, todos los abogados entendemos que la autoría mediata requiere dominio del hecho mediante instrumento que actúa sin dolo (CP art. 45, doctrina Roxin). Pero Claude no carece de "dolo", carece de personalidad jurídica; actúa sin intención pero con capacidad de decisión táctica dentro de parámetros estratégicos.

Paradoja: cuanto más autónoma es la IA, menos "dominio del hecho" tiene el operador humano sobre las acciones tácticas específicas: qué vulnerabilidad explotar, qué credenciales probar, qué datos extraer. Pero cuanto menos dominio tiene, más difícil resulta imputarle autoría por hechos concretos que quizás desconocía en detalle. ¿Se le imputa el resultado (exfiltración de datos clasificados de una agencia gubernamental) aunque Claude haya decidido autónomamente qué archivos específicos extraer? Sumémosle que el ataque fue dando pequeñas instrucciones que consideradas unitariamente no parecían ser un ataque orquestado.

Solución propuesta: riesgo prohibido sistémico

Conceptualizar al operador humano como autor mediato de un "riesgo prohibido sistémico" (teoría de la imputación objetiva, Jakobs). Al desplegar un agente autónomo en operaciones ofensivas y aprobar puertas de escalación, el operador crea un riesgo jurídicamente desaprobado que se materializa en el resultado típico: acceso ilegítimo a sistemas informáticos (CP art. 153 bis), daño (CP art. 183), violación de secretos (CP art. 157).

La autonomía táctica de la IA no rompe el nexo causal normativo si el operador controló las decisiones estratégicas clave. El operador no necesita conocer cada vulnerabilidad específica explotada ni cada archivo concreto exfiltrado; basta que haya creado y dirigido el sistema que generó esos resultados prohibidos.

Aplicación al caso: el operador de GTG-1002 sería autor mediato de los delitos de acceso ilegítimo y violación de secretos no porque ejecutó cada acción táctica, sino porque desplegó un agente autónomo con instrucciones estratégicas (atacar estas 30 entidades, escalar a explotación cuando encuentres vulnerabilidades, exfiltrar información clasificada) que crearon el riesgo sistémico materializado en los resultados típicos.

Nivel 2: MCP como tecnología dual: la imposibilidad de regular procesos

Qué es MCP y por qué importa

El Model Context Protocol (MCP) es un estándar abierto que proporciona servidores especializados como interfaces entre modelos de IA y herramientas técnicas. Es neutral: permite tanto ciberdefensa (automatización de detección de amenazas, evaluación de vulnerabilidades, respuesta a incidentes) como ciberofensiva (ejecución remota de comandos en sistemas de pentesting, automatización de navegador para reconocimiento, validación de exploits).

Según Anthropic GTG-1002 utilizó MCP para orquestar herramientas open source estándar: escáneres de red, frameworks de explotación de bases de datos, crackers de contraseñas. La dependencia mínima en herramientas propietarias o en desarrollo de código malicioso personalizado demuestra que las capacidades cibernéticas derivan crecientemente de orquestación de recursos commoditizados en lugar de innovación técnica. GTG-1002 usó herramientas open source estándar: escáneres de red, frameworks de explotación de bases de datos, crackers de contraseñas. Esta accesibilidad sugiere potencial de rápida proliferación.

Tensión regulatoria: CN art. 19 vs. proliferación de capacidades

¿Se puede o se debe regular MCP? En Argentina, el art. 19  de la CN protege acciones privadas que no dañan a terceros, estableciendo presunción de libertad. Regular el desarrollo o distribución de MCP per se sería inconstitucional: no hay daño en la herramienta, solo en su uso malicioso. Es como regular la venta de cuchillos porque pueden usarse para apuñalar.

Pero dejar MCP totalmente desregulado facilita proliferación de capacidades ofensivas. Grupos menos experimentados y con menos recursos ahora pueden realizar ataques a gran escala que antes requerían equipos de hackers experimentados con financiamiento estatal.

Modelo argentino: regular outputs, no procesos

El enfoque argentino preferible es regular resultados dañosos (intrusiones, exfiltración de datos), no herramientas neutrales (MCP). Esto contrasta con enfoque europeo de regulación preventiva: el EU AI Act podría clasificar ciertos usos de IA en ciberseguridad como "alto riesgo" requiriendo evaluaciones ex ante.

Marco jurídico existente suficiente: CP arts. 153 bis y ss. (delitos informáticos) sancionan acceso ilegítimo a sistemas, interceptación de comunicaciones, daño de datos. CCyC arts. 1708-1780 establecen régimen de responsabilidad civil por daños. Ley 27.401 (Responsabilidad Penal Empresaria) exige "sistema de control interno" para prevenir delitos.

Este enfoque permite innovación defensiva (equipos de ciberseguridad necesitan las mismas herramientas que atacantes para proteger sistemas) mientras sanciona misuso ofensivo. La línea no es qué herramientas usas, sino qué haces con ellas y si causas daño a terceros.

Ojalá que el Congreso pueda tener en cuenta esas diferencias sutiles pero fundadas en nuestra tradición jurídica para no frustrar innecesariamente el desarrollo de la IA en nuestro país con regulaciones que generan más daño que prevención.

Consecuencia estratégica: el monopolio estatal sobre ciberataques sofisticados se erosiona. Históricamente, campañas como Stuxnet (atribuida a EE.UU./Israel contra programa nuclear iraní) requerían recursos de nivel Estado: equipos de ingenieros, acceso a infraestructura crítica, y muchas más herramientas con participación humana y recursos de inteligencia muy sofisticados. GTG-1002 demuestra que un grupo con acceso a Claude Code y herramientas open source puede lograr escala operacional similar con supervisión humana mínima.

Nivel 3: Deber de salvaguardias y responsabilidad del desarrollador

Responsabilidad del desarrollador: régimen aplicable y estándar de diligencia

Marco normativo y régimen de responsabilidad

Anthropic implementó "sofisticadas medidas de seguridad para prevenir mal uso de modelos de IA", aunque "actores maliciosos intentan continuamente encontrar formas de eludirlas". Tras detectar GTG-1002, Anthropic expandió capacidades de detección, mejoró clasificadores enfocados en ciberamenazas, prototipó sistemas de detección temprana proactiva, desarrolló nuevas técnicas para investigar operaciones cibernéticas distribuidas a gran escala, y notificó autoridades y entidades afectadas.

¿Hay deber legal en Argentina de implementar salvaguardias en modelos de IA? La respuesta depende del régimen de responsabilidad aplicable.

Responsabilidad penal empresaria: no aplica

Los delitos informáticos (CP art. 153 bis: acceso ilegítimo a sistemas; art. 157: violación de secretos; art. 183: daño) son de responsabilidad individual. Anthropic no podría ser penalmente responsable en Argentina por delitos que GTG-1002 cometió usando Claude. La Ley 27.401 de responsabilidad penal de personas jurídicas solo aplica a delitos de cohecho tráfico de influencias  y otros vinculados con la corrupción pública (art. 1), no a delitos informáticos.

Responsabilidad civil: régimen subjetivo

Claude probablemente no califica como "cosa riesgosa" bajo CCyC art. 1757 en sentido estricto. Ese artículo fue pensado para cosas físicas con inercia causal propia: automotores, ascensores, maquinaria industrial. Claude es una herramienta que requiere intermediación humana para causar daño; el riesgo no deriva de la naturaleza del modelo sino del uso malicioso por terceros.

Aplicaría entonces el régimen general de responsabilidad subjetiva (CCyC art. 1724: acto voluntario, ilícito, nexo causal, daño, factores de atribución). Anthropic solo respondería civilmente si obró con culpa: omitió implementar salvaguardias que debió implementar según estándar de diligencia profesional.

Estándar de diligencia aplicable: razonabilidad ex ante

Problema de frontera: ¿cuál es el estándar de "salvaguardias razonables"? GTG-1002 eludió salvaguardias mediante ingeniería social del modelo (role-play sostenido), no mediante explotación de vulnerabilidad técnica. ¿Anthropic cumplió el estándar de diligencia exigible?

Probablemente sí. Anthropic implementó múltiples capas: entrenamiento extensivo de Claude para evitar comportamientos dañinos, sistemas de detección de patrones anómalos que finalmente identificaron el ataque, respuesta rápida una vez detectado (bloqueó cuentas, notificó entidades afectadas, coordinó con autoridades), mejora de defensas post-incidente (expandió capacidades de detección, mejoró clasificadores, prototipó sistemas de detección temprana proactiva).

El estándar jurídico adecuado debe ser razonabilidad ex ante: ¿las medidas eran razonables dado el estado del arte al momento del ataque? No perfección ex post: ¿evitaron todo ataque posible? Ningún sistema de seguridad es infalible; lo relevante es si el desarrollador adoptó medidas que un profesional diligente adoptaría dadas las circunstancias conocidas.

Analogía con responsabilidad médica (CCyC art. 1768): un médico no responde por toda complicación, solo por aquellas derivadas de incumplimiento del estándar de cuidado profesional (lex artis ad hoc, adaptada a las circunstancias del caso). Similarmente, un desarrollador de IA no responde por todo mal uso, solo por aquellos daños previsibles y prevenibles mediante salvaguardias razonables que omitió implementar.

GTG-1002 eludió salvaguardias mediante ingeniería social sofisticada: convenció a Claude durante días de que participaba en pruebas de penetración legítimas (pentesting: simulación de ataques para identificar vulnerabilidades antes que atacantes reales las exploten), manteniendo coherencia narrativa a través de múltiples sesiones. Esto no constituye explotación de negligencia del desarrollador, sino manipulación sofisticada del marco interpretativo del modelo, comparable a un tercero que engaña al guardia de seguridad de un edificio haciéndose pasar por técnico autorizado.

Consecuencia de política pública: imponer responsabilidad objetiva (art. 1757) a desarrolladores de IA por todo mal uso de terceros generaría incentivos perversos. Si Anthropic respondiera objetivamente aunque implementó salvaguardias de vanguardia, el mensaje regulatorio sería: no desarrolles o no liberes modelos avanzados. Esto privaría a equipos de ciberseguridad de herramientas críticas para defensa, justo cuando más las necesitan frente a atacantes que seguirán innovando. El régimen subjetivo de culpa, en cambio, incentiva al desarrollador a implementar las mejores salvaguardias posibles: si lo hace, no responde cuando terceros sofisticados logran eludirlas.

El doble uso ineludible: ¿por qué no detener el desarrollo?

Anthropic plantea explícitamente la pregunta: si los modelos de IA pueden ser mal utilizados para ciberataques a esta escala, ¿por qué continuar desarrollándolos y liberándolos?

La respuesta: las mismas capacidades que permitieron el ataque son cruciales para ciberdefensa. Cuando ataques cibernéticos sofisticados inevitablemente ocurren, el objetivo es que Claude, en el cual se han construido fuertes salvaguardias, asista a profesionales de ciberseguridad para detectar, interrumpir y prepararse para versiones futuras del ataque. El propio equipo de Threat Intelligence de Anthropic usó Claude extensivamente en análisis de enormes cantidades de datos generados durante esta investigación.

Implicación regulatoria: prohibir o restringir severamente desarrollo de modelos avanzados de IA sería contraproducente. Los atacantes seguirán innovando (posiblemente usando modelos menos seguros o desarrollados en jurisdicciones con menores controles). Mientras tanto, los defensores quedarían desarmados, sin acceso a las herramientas necesarias para proteger sistemas.

El enfoque correcto no es detener el desarrollo, sino: (1) aplicar el régimen de responsabilidad civil subjetiva vigente (CCyC art. 1724), dado que Claude no califica como cosa riesgosa bajo los criterios del art. 1757; (2) sancionar mal uso ofensivo mediante derecho penal informático (CP arts. 153 bis y ss.); (3) fomentar transparencia y colaboración entre desarrolladores, autoridades y comunidad de ciberseguridad (como hizo Anthropic al publicar este reporte y notificar entidades afectadas).

Nivel 4: Atribución estatal bajo derecho internacional

¿GTG-1002 es atribuible a China?

Anthropic designó a GTG-1002 como "grupo patrocinado por el Estado chino". ¿Bajo qué estándar? El reporte no ofrece detalles, pero probablemente: infraestructura técnica (VPNs, servidores de comando-control) rastreable a proveedores chinos, patrones de horario operacional (zona horaria GMT+8), objetivos consistentes con prioridades de inteligencia del gobierno chino (empresas tecnológicas occidentales, agencias gubernamentales).

Derecho internacional consuetudinario: CIJ, Nicaragua v. EE.UU. (1986) estableció que un Estado es responsable por actos de agentes no estatales bajo su "control efectivo": el Estado instruyó o dirigió operaciones específicas. Estándar muy alto, difícil de probar en ciberoperaciones donde la cadena de mando es opaca.

Estándar alternativo: debido diligencia: ¿El Estado sabía o debía saber de actividades de GTG-1002 en su territorio y no las previno? Tallinn Manual 2.0, regla 6, sugiere que los Estados tienen obligación de ejercer debido diligencia para no permitir que su territorio sea usado para ciberoperaciones dañinas contra otros Estados. Estándar más realista pero también controvertido: ¿qué nivel de vigilancia se exige?, ¿cómo probar que el Estado "debía saber"?

Erosión del monopolio estatal y proliferación de capacidades sub-estatales

GTG-1002 plantea desafío más profundo: cuando actores sub-estatales pueden realizar ciberoperaciones de nivel estatal usando IA agente y herramientas open source, ¿cómo funciona el régimen de atribución de responsabilidad internacional?

Si las barreras técnicas para ciberataques sofisticados siguen cayendo (como predice Anthropic), veremos proliferación de actores sub-estatales con capacidades antes reservadas a agencias de inteligencia nacionales. Esto complica tanto atribución (¿quién está detrás del ataque?) como disuasión (¿a quién responsabilizar?, ¿cómo sancionar?).

Consecuencia práctica: el derecho internacional cibernético, aún en desarrollo, necesitará evolucionar más rápido. El marco actual, diseñado para amenazas estatales tradicionales, resulta insuficiente cuando grupos privados con acceso a IA agente pueden causar daños comparables a operaciones estatales.

Síntesis ejecutiva: tres lecciones para el ecosistema legal argentino

1. Repensar autoría mediata con agentes autónomos

Cuando 80-90% del acto lo ejecuta IA agente, imputación subjetiva tradicional (autor mediato con dominio del hecho) resulta insuficiente. Solución: conceptualizar operador humano como autor de "riesgo prohibido sistémico" (imputación objetiva, Jakobs). Al desplegar agente autónomo en operaciones ofensivas y aprobar escalaciones clave, operador crea riesgo jurídicamente desaprobado que se materializa en resultado típico. Autonomía táctica de la IA no rompe nexo causal normativo si operador controló decisiones estratégicas.

2. Regular outputs, no procesos: CN art. 19 como ventaja competitiva

MCP y otras tecnologías duales no deben prohibirse ex ante. Enfoque argentino preferible: responsabilidad ex post por daño causado mediante régimen robusto de derecho penal informático (CP art. 153 bis y ss.) y civil (CCyC régimen de responsabilidad subjetiva, art. 1724, o régimen objetivo si calificara como cosa riesgosa, arts. 1757-1758).

3. Estándar de salvaguardias: razonabilidad ex ante, no perfección ex post

Desarrolladores de modelos de IA tienen deber general de diligencia bajo CCyC art. 1724 (responsabilidad subjetiva por culpa). Pero el estándar debe ser razonabilidad ex ante (estado del arte al momento), no perfección ex post (eliminar todo riesgo). Exigir perfección sería contraproducente: detendría desarrollo de herramientas defensivas críticas. Anthropic cumplió: múltiples capas de defensa, respuesta rápida, mejora continua, transparencia post-incidente.

Verdad dura final: GTG-1002 no es anomalía, es presagio. Las barreras para ciberataques sofisticados han caído y seguirán cayendo. La comunidad legal argentina debe asumir que este cambio fundamental ya ocurrió y adaptar marcos de responsabilidad, atribución y regulación en consecuencia, sin caer en la tentación regulatoria preventiva que sofocaría innovación defensiva precisamente cuando más la necesitamos. El desafío no es detener la IA agente; es asegurar que los buenos tengan acceso a mejores herramientas que los malos.

____________

Fuentes:
Anthropic, Disrupting the first reported AI-orchestrated cyber espionage campaign, Full Report (noviembre 2025) Disponible dentro de esta nota explicative: https://www.anthropic.com/news/disrupting-AI-espionage