El ataque China Agentic AI de septiembre de 2025 marca un punto de inflexión en la ciberseguridad. El panorama de los ataques ha cambiado. Esta operación no fue una intrusión tradicional dirigida por humanos que tomaban decisiones. Fue una campaña de espionaje coordinada y dirigida por IA.
Operadores con sede en China desplegaron sistemas de inteligencia artificial diseñados para funcionar como orquestadores autónomos de pruebas de penetración. El resultado fue un reconocimiento a la velocidad de la máquina, la recolección de credenciales y el movimiento lateral en más de dos docenas de organizaciones. Los defensores no se enfrentaban a seres humanos que utilizaban la IA como herramienta; se enfrentaban a flujos de trabajo de ataque impulsados por IA que operaban continuamente, se adaptaban sin pausa y se ampliaban más allá de la capacidad humana.
El análisis de Anthropic destaca lo que realmente hizo diferente a este ataque. La IA no se limitó a automatizar tareas, sino que analizó su propio funcionamiento en tiempo real. En la fase 4, Claude trazó de forma independiente qué credenciales robadas desbloqueaban qué sistemas internos. Construyó límites de privilegios y relaciones de acceso sin dirección humana.
Esta capacidad - la IA "determinar de forma independiente qué credenciales dan acceso a qué servicios" - expone un fallo crítico en los modelos de autenticación actuales. Nuestros sistemas nunca se diseñaron para un adversario capaz de razonar sobre los límites de confianza a la velocidad de una máquina.
Por qué las contraseñas y la AMF no son suficientes
Durante años, hemos considerado las contraseñas seguras y la AMF como la base para una autenticación segura. Funcionan para detener a un atacante humano en una pantalla de inicio de sesión.
GTG-1002 no tenía como objetivo la pantalla de inicio de sesión - explotaba los sistemas directamente, y luego pivotaba a través de la capa de autenticación interna de máquina a máquina utilizando credenciales de servicio robadas.
Una vez dentro, la IA agéntica realizaba el movimiento lateral totalmente a través de credenciales internas:
"El movimiento lateral procedió a través de la enumeración dirigida por IA de los sistemas accesibles utilizando credenciales robadas".
Aquí es donde fallan las defensas actuales.
1. Las contraseñas son secretos compartidos
Una contraseña es algo que ambas partes deben saber. Eso la hace robable. Si un atacante ya está dentro, es trivial extraerla.
2. El AMF es un punto de control humano
MFA valida a una persona durante un intento de inicio de sesión. No hace nada por la comunicación continua de máquina a máquina dentro de su entorno.
3. Sus servicios no utilizan contraseñas ni MFA
Los sistemas internos se basan en:
- Claves API
- Cuentas de servicio
- Tokens portadores OAuth
- Certificados
- Tokens estáticos en la configuración
Estas son exactamente las credenciales que la IA recogió y mapeó:
"[Claude] determinó de forma independiente qué credenciales daban acceso a qué servicios".
Un atacante a velocidad de máquina no está intentando entrar. Está peinando tu superficie interna de credenciales buscando el siguiente punto de giro.
Las contraseñas y MFA no ayudan aquí. Nunca se diseñaron para esto.
Por qué la PKI y los certificados x.509 son ahora esenciales
PKI cambia el modelo. En lugar de un secreto compartido, la PKI utiliza un par de claves criptográficas:
- Clave pública: libremente compartida
- Clave privada: nunca sale de su límite de seguridad
La autenticación se convierte en una prueba criptográfica de conocimiento cero, no en un secreto adivinable.
Principales ventajas de los certificados x.509
✔ Identidad verificable criptográficamente
Los certificados proporcionan una identidad sólida para usuarios, dispositivos y servicios.
✔ Sin secretos compartidos
La clave privada nunca transita por la red ni aparece en texto plano. No puede ser "robada desde dentro" como una contraseña o un token.
Construido para la automatización y la escala
La PKI moderna admite la emisión, renovación y revocación a gran escala a través de una infraestructura distribuida.
PKI es el único modelo de autenticación que sigue el ritmo de la automatización de la nube y atacantes a velocidad de máquina.
Dónde utilizar los certificados
✔ Comunicación de máquina a máquina (M2M)
Todas las llamadas de servicio a servicio deben utilizar TLS mutuo (mTLS).
Ambas partes se autentican mediante certificados.
Esto bloquea directamente el movimiento lateral basado en credenciales visto en GTG-1002.
✔ Identidad de servicio
Los servidores web, las bases de datos y las API internas deben presentar certificados que demuestren su identidad.
✔ Autenticación de dispositivos
Las arquitecturas de confianza cero se basan en la identidad del dispositivo. Los certificados son la norma.
✔ Autenticación de usuarios sin contraseñas
Las tarjetas inteligentes, PIV/CAC y Windows Hello for Business ya utilizan certificados en lugar de contraseñas.
mTLS frente a OAuth: Aclarando la confusión
OAuth no sustituye a PKI. Resuelve la autorización, no la autenticación.
- OAuth = ¿Qué puede hacer?
- mTLS = ¿Quién es usted?
Los tokens portadores -ampliamente utilizados en los flujos OAuth- no son más que otro secreto que puede ser robado. La operación GTG-1002 demostró exactamente esta debilidad.
Utilización de mTLS para la autenticación y OAuth para la autorización garantiza que tanto la identidad como los permisos se cumplan criptográficamente.
La PKI no basta por sí sola, pero es innegociable
Una base PKI sólida no sustituye a una buena arquitectura. La hace posible.
Para defenderse de las intrusiones impulsadas por la IA, las organizaciones también deben adoptar:
✔ Mínimo privilegio
La escalada de privilegios impulsada por la IA es real. Minimizar los privilegios reduce el impacto.
✔ Segmentación de la red
Si todo puede hablar con todo, un atacante -humano o IA- puede moverse libremente.
✔ Arquitectura de confianza cero
Nunca dé por hecho que el tráfico interno es de confianza.
Autentique todo con certificados.
Autorice todo con el menor privilegio.
Lo esencial
El ataque GTG-1002 demuestra que el panorama de las amenazas ha cambiado permanentemente. Las contraseñas y la AMF protegen a las personas, no a los sistemas distribuidos. De hecho, Gartner ha destacado la necesidad de identidades vinculadas a la carga de trabajo por encima de la AMF centrada en las personas. Según la investigación de Gartner, "el uso de MFA funciona muy bien para los humanos, pero no es apropiado para las cargas de trabajo, como los agentes de IA. En su lugar, considere el uso de identidades o credenciales de carga de trabajo, como certificados vinculados a la carga de trabajo."
Los atacantes basados en IA operan a la velocidad de las máquinas. Su autenticación debe hacer lo mismo.
PKI y los certificados x.509 no son simplemente "autenticación más fuerte". Son la base necesaria para defenderse de las intrusiones autónomas impulsadas por IA.
Dé el siguiente paso: explore el reciente libro blanco de Keyfactor, Securing Agentic AI with Zero Trust, y descubra cómo las soluciones Keyfactor pueden ayudarle a proteger, escalar y desplegar con confianza agentes de IA en su organización.
