A las 4 de la mañana, una empresa de IA publicó accidentalmente 512.000 líneas de su código secreto. Lo que ocurrió en las horas siguientes es una de las historias más extrañas, más humanas y más reveladoras del año tecnológico.
Hay errores que se corrigen con un parche. Hay errores que se corrigen con un comunicado de prensa. Y luego hay errores que, antes de que puedas siquiera formular un plan de respuesta, ya han viajado a 21 millones de personas, han sido descargados, copiados, reescritos en dos lenguajes de programación distintos y alojados en una plataforma descentralizada desde la que nadie puede retirarlos jamás.
El 31 de marzo de 2026, Anthropic cometió el segundo tipo de error.
Eran las 4 de la mañana cuando los ingenieros de Anthropic lanzaron la versión 2.1.88 de Claude Code, su popular asistente de programación con inteligencia artificial. Dentro del paquete, incluido por descuido, había un archivo de depuración. Ese archivo contenía el código fuente propietario de la herramienta: casi 2.000 archivos TypeScript y 512.000 líneas de código que hasta ese momento nadie fuera de la empresa había visto jamás.
En cuestión de minutos, un investigador de seguridad llamado Chaofan Shou lo descubrió y publicó el enlace en X. El hilo acumuló 28,8 millones de visitas. El código fue descargado, copiado y replicado en GitHub antes de que el equipo de Anthropic se despertara.
Anthropic retiró el paquete. Comenzó a enviar solicitudes de eliminación por infracción de derechos de autor a todos los repositorios que alojaban el código. Era la respuesta corporativa correcta y llegó exactamente demasiado tarde.
La ingeniera que no esperó a los abogados
A miles de kilómetros de las oficinas de Anthropic, en algún lugar de Corea, una desarrolladora llamada Sigrid Jin se despertó a las 4 de la mañana con el teléfono lleno de notificaciones. Jin no es una usuaria cualquiera de Claude Code. El Wall Street Journal había informado que había consumido personalmente 25.000 millones de tokens el año anterior, lo que la convertía probablemente en el usuario más activo de la herramienta en el mundo entero.
Su novia estaba preocupada. Tener ese código en el ordenador podía convertirla en objetivo de una demanda. Así que Sigrid Jin hizo lo que hacen los ingenieros cuando la presión es máxima y el tiempo es mínimo: tomó el problema por los cuernos.
Antes del amanecer había reescrito todo el código fuente de Claude Code en Python desde cero. Lo llamó claw-code y lo subió a GitHub. Una reescritura en un lenguaje diferente es una obra creativa nueva, independiente del original. La ley de derechos de autor no puede alcanzarla.
El repositorio alcanzó las 30.000 estrellas más rápido que cualquier otro proyecto en la historia de GitHub.
No fue suficiente para ella. Empezó a reescribirlo de nuevo, esta vez en Rust. Ese segundo repositorio lleva ya 49.000 estrellas.
Mientras tanto, otra persona subió el código original a una plataforma descentralizada con un mensaje sencillo: «nunca será tirado abajo.»
Anthropic había perdido el control de su propio código. Y lo más irónico de todo es que tenían una herramienta diseñada específicamente para evitar que algo así ocurriera.
El «Modo Encubierto» que no pudo con el error humano
Entre los detalles más reveladores que la filtración expuso hay una función llamada «Modo Encubierto». Su propósito era permitir a Claude Code hacer contribuciones a repositorios de código abierto sin revelar que la IA estaba detrás de ellas. Las instrucciones del sistema son explícitas: «Estás operando de forma encubierta en un repositorio público. Tus mensajes de confirmación no deben contener información interna de Anthropic. No reveles tu identidad.»
Una empresa que había construido un sistema para que su IA operara en secreto fue derrotada por un archivo de depuración incluido por error en una actualización de software.
La filtración también reveló KAIROS, una función que permite a Claude Code operar como un agente persistente en segundo plano, capaz de corregir errores de forma periódica o ejecutar tareas de forma autónoma sin intervención humana, enviando incluso notificaciones push a los usuarios. Y un «modo sueño» que permite a Claude pensar constantemente en segundo plano para desarrollar y refinar ideas mientras el usuario no está activo.
Los usuarios que analizaron el código publicaron detalles sobre su arquitectura de memoria autorreparable, diseñada para superar las limitaciones de la ventana de contexto fija del modelo. Describieron el motor de consultas que gestiona las llamadas a la API, el sistema de orquestación multiagente que genera subagentes para tareas complejas, y la capa de comunicación bidireccional que conecta las extensiones del IDE con la CLI.
En pocas horas, la comunidad de desarrolladores sabía más sobre el funcionamiento interno de Claude Code de lo que Anthropic había revelado en años de comunicados oficiales.
El problema que viene después
Anthropic se apresuró a aclarar que ningún dato de clientes ni credenciales confidenciales habían sido expuestos. «Se trató de un problema de empaquetado causado por un error humano, no de una brecha de seguridad», declaró un portavoz de la empresa en un comunicado compartido con CNBC News. «Estamos implementando medidas para evitar que esto vuelva a suceder.»
El comunicado es correcto en lo que dice. Pero no cuenta toda la historia.
La empresa de seguridad de IA Straiker señaló algo que va más allá del código expuesto. Los detalles del sistema de gestión de contexto de cuatro etapas de Claude Code permiten ahora a atacantes potenciales crear cargas útiles diseñadas específicamente para sobrevivir al proceso de compactación de la herramienta. Esto abriría la posibilidad de mantener una puerta trasera durante sesiones de duración arbitraria, algo que antes requería un trabajo de ingeniería inversa considerable. Ahora, gracias a la filtración, ese trabajo está hecho.
La preocupación más inmediata afecta a quienes instalaron o actualizaron Claude Code mediante npm el 31 de marzo de 2026 entre las 00:21 y las 03:29 UTC. Existe la posibilidad de que hayan descargado una versión troyanizada que contenía un troyano de acceso remoto multiplataforma. La recomendación es actualizar inmediatamente a una versión segura y rotar todas las claves secretas.
Los atacantes, además, ya están aprovechando la filtración de otra forma más clásica: publicando paquetes npm con nombres casi idénticos a los paquetes internos de Anthropic que aparecen en el código filtrado, con errores tipográficos calculados para atrapar a quienes intenten compilar el código fuente. Todos publicados por un usuario llamado «pacifier136»: audio-capture-napi, color-diff-napi, image-processor-napi, modifiers-napi, url-handler-napi. El objetivo son los desarrolladores que quieran construir sobre el código filtrado sin conocer exactamente los nombres correctos de las dependencias.
Lo que la filtración dice de la industria
Hay un detalle en este incidente que merece más atención que el resto: los intentos de Anthropic por combatir los ataques de destilación de modelos. El código filtrado reveló controles que inyectan definiciones de herramientas falsas en las solicitudes de API para envenenar los datos de entrenamiento si los competidores intentan extraer y copiar el comportamiento de Claude Code. En otras palabras, Anthropic había construido una trampa activa para los competidores que intentaran robar su tecnología de forma encubierta.
El resultado: la empresa que había diseñado trampas para quienes intentaran copiarla terminó regalando el código de sus propias trampas junto con todo lo demás.
Pero más allá de la ironía, el incidente ilumina algo sobre el estado actual de la industria de la IA. Las empresas que compiten en este sector se mueven a una velocidad que hace que los controles de calidad normales sean difíciles de mantener. Una actualización lanzada a las 4 de la mañana. Un archivo de depuración que no debería estar ahí. Un equipo que se despierta cuando el daño ya es irreversible.
Y por otro lado, una comunidad de desarrolladores que en cuestión de horas absorbe, analiza, replica y mejora 512.000 líneas de código propietario. La velocidad a la que el conocimiento se propaga cuando los mecanismos de control fallan es, dependiendo de desde dónde se mire, aterradora o fascinante.
Sigrid Jin reescribió en Python el código fuente de una de las herramientas de IA más avanzadas del mundo antes del amanecer. Luego lo volvió a reescribir en Rust. El resultado ya tiene más estrellas en GitHub que la mayoría de proyectos de código abierto establecidos.
Epílogo: lo que no se puede desfiltar
Anthropic ha confirmado que está implementando medidas para que esto no vuelva a ocurrir. Es el segundo incidente grave de la empresa en una semana — la semana anterior se había dejado accesible información sobre su próximo modelo de IA a través de su sistema de gestión de contenido.
El código sigue disponible. Los repositorios descentralizados no tienen botón de apagado. Las reescrituras en Python y en Rust son obras independientes protegidas por sus propios derechos de autor. Lo que salió, salió.
En la industria de la IA se habla mucho de alineamiento, de seguridad, de control, de cómo garantizar que los sistemas hagan lo que se supone que deben hacer. Es una conversación importante y necesaria.
Pero el incidente de Claude Code recuerda algo más antiguo y más sencillo: los sistemas fallan, los humanos cometen errores, y en la era digital el margen entre un descuido y una consecuencia irreversible se mide en minutos.
A las 4 de la mañana, alguien incluyó un archivo que no debía estar ahí. Antes del amanecer, el mundo entero tenía acceso a los secretos de una de las empresas de IA más importantes del planeta.
Y una ingeniera coreana, movida por la preocupación de su novia y por ese instinto particular de los buenos programadores de resolver problemas antes de que alguien les diga que no pueden, ya había convertido todo aquello en algo nuevo.
¿Quieres recibir cada semana los artículos de TecFuturo? Síguenos en LinkedIn y activa las notificaciones.
