Estafa phishing de Claude: instalaba malware PlugX

En abril de 2026, Malwarebytes detectó una campaña de estafa phishing Claude que distribuía el malware PlugX disfrazado de instalador legítimo de Claude Pro para Windows. El archivo, descargado desde un sitio falso promocionado por emails enviados vía los servicios Kingmailer y CampaignLark, infectaba el equipo de la víctima mientras instalaba la app real de Claude para no levantar sospechas.

Claude es un modelo de lenguaje de IA desarrollado por Anthropic, diseñado para generar texto, responder preguntas y asistir en tareas de investigación y programación. Fue presentado públicamente en 2023.

Qué es el phishing con IA: la nueva amenaza

El phishing con IA es una variante de los ataques de suplantación de identidad donde los atacantes usan modelos de lenguaje para generar los mensajes fraudulentos. La diferencia con el phishing tradicional es concreta: los emails ya no tienen errores de ortografía, traducción deficiente ni frases raras que activaban el radar de cualquier usuario medianamente atento.

Ponele que recibís un email impecable, en español rioplatense correcto, con el logo de Anthropic, un botón de descarga y un tono que suena exactamente como comunicación corporativa real. Eso es lo que la IA le da a los atacantes hoy: escala + calidad. Antes necesitabas redactores nativos para cada idioma objetivo. Ahora alcanza con un prompt bien armado.

Según datos de Kaspersky, entre septiembre de 2024 y febrero de 2025, el 82,6% de los emails de phishing detectados en sus análisis contenía texto generado con IA. El número habla por sí solo.

El caso específico: fake Claude Pro Windows (marzo-abril 2026)

Este ataque particular es interesante porque combina varias técnicas. Malwarebytes publicó el análisis técnico en abril de 2026 y el vector inicial era un sitio web falso que imitaba la página oficial de descarga de Claude para Windows.

Los atacantes distribuyeron links al sitio falso mediante emails masivos enviados a través de Kingmailer y CampaignLark, dos plataformas legítimas de email marketing. Esto no es menor: al salir desde infraestructura “limpia”, los emails pasaban los filtros de spam básicos y llegaban directo a la bandeja de entrada.

El archivo descargable se llamaba Claude-Pro-windows-x64.zip. Adentro había un MSI installer que, al ejecutarse, hacía dos cosas al mismo tiempo: instalaba la aplicación real de Claude (para que el usuario no notara nada raro) y en segundo plano desplegaba PlugX. La única pista visual de que algo estaba mal era un typo en el nombre interno del archivo: “Cluade” en vez de “Claude” (sí, una letra transpuesta, nada más). Para más detalles técnicos, mirá analizando patrones maliciosos con IA.

Cómo funciona el ataque del malware PlugX

PlugX no es nuevo. Es un Remote Access Trojan (RAT) con años de historial en operaciones de espionaje, especialmente asociado a grupos APT de origen chino. Que aparezca en una campaña de phishing masivo orientada a usuarios de Windows dice algo sobre la sofisticación del grupo detrás de esto.

Una vez instalado, PlugX le da al atacante acceso remoto completo al equipo: captura de pantalla, keylogging, acceso al sistema de archivos, ejecución remota de comandos. Todo eso corre en background mientras vos usás Claude tranquilamente, sin notar nada.

La estrategia de instalar la app legítima en paralelo al malware no es casualidad. Es ingeniería social aplicada: si Claude arranca y funciona, ningún usuario va a pensar que algo salió mal.

Señales de alerta para detectar estafa phishing Claude

Algunas señales son las de siempre, sí, pero con variantes que el phishing potenciado con IA introduce:

• Dominio del remitente: las únicas direcciones oficiales de Anthropic son @anthropic.com y @claude.com. Si el email viene de @claude-pro.com, @anthropic-official.net, o cualquier variante, es falso.
• Links de descarga en emails: Anthropic no te va a mandar un ejecutable por email. Claude se descarga desde claude.ai o desde las tiendas oficiales. Si un email te pide bajar un ZIP o MSI, no lo toques.
• Urgencia artificial: “Tu cuenta será suspendida en 24 horas”, “Actualizá ahora para no perder el acceso”. El tiempo de presión es un clásico que los atacantes mantienen porque funciona.
• Typos en nombres de archivo o UI: en este caso fue “Cluade”. Son errores que se filtran cuando el proceso de QA es humano y apresurado.
• Email llegó solo: si no pediste nada y te llega una “actualización” de Claude, eso ya es raro de por sí.

¿Cómo verificás que un dominio de email es legítimo? Con MX record lookup. Herramientas como MXToolbox te dejan chequear si el dominio de donde viene el email tiene registros MX que coinciden con la infraestructura declarada de la empresa. No es infalible, pero filtra buena parte de los dominios falsos registrados apurado. En identificar dominios fraudulentos profundizamos sobre esto.

Cómo los atacantes usan Claude para crear phishing (y qué hace Anthropic al respecto)

Acá viene lo que muchos no dicen claramente: sí, hay intentos documentados de usar Claude para generar contenido malicioso. WeLiveSecurity reportó casos donde atacantes intentaron usar Claude con prompts en español diseñados para eludir los filtros, incluyendo intentos vinculados a actividad contra organismos del gobierno mexicano.

Anthropic tiene sistemas de detección activos y bloquea estos intentos. Pero las técnicas de jailbreak evolucionan. Lo que Claude rechaza hoy puede tener un workaround mañana, aunque sea temporal. La “inteligencia” del filtro siempre va un paso atrás de quienes trabajan activamente para saltarlo.

Lo que sí queda claro: Claude no va a escribirte un email de phishing si se lo pedís directamente. Los casos detectados implicaban prompts técnicamente indirectos, contextos falsos (“estoy haciendo un pen test autorizado”, etc.). Anthropic actualiza sus políticas de uso y sus sistemas de detección con regularidad, pero nadie en el sector de IA promete que sus modelos son a prueba de balas frente a actores determinados.

También hay casos de uso que no requieren ni jailbreak: generación de voces clonadas, deepfakes con otras herramientas, y personalización masiva de mensajes usando datos filtrados de bases de datos. Claude puede ser solo una pieza de un pipeline de ataque más amplio.

Protección y medidas defensivas

La lista de recomendaciones no cambió fundamentalmente, pero el orden de prioridad sí:

• MFA con FIDO2 primero: las llaves de seguridad físicas (YubiKey, etc.) o passkeys son las que resisten phishing aunque el usuario haga clic en un link falso. El MFA con SMS o TOTP sigue siendo atacable con proxies en tiempo real.
• Filtros de email con ML: los filtros basados en reglas estáticas no detectan bien el phishing generado por IA. Necesitás filtros que evalúen semántica y contexto, no solo patrones de palabras clave.
• Simulaciones de phishing internas: si manejás un equipo, hacer simulaciones periódicas con herramientas como GoPhish entrena mejor que cualquier capacitación teórica.
• Escáneres especializados: Bitdefender Scamio y Norton Genie están diseñados para detectar mensajes y links sospechosos. No son perfectos, pero agregan una capa útil.
• Validación de URLs antes de hacer clic: hover sobre el link y mirar la URL real. Si en el cliente de email no podés ver la URL, copiala y pegala en un analizador como VirusTotal o URLVoid antes de abrir.

Cómo confirmar que un email es realmente de Anthropic

Anthropic documenta sus direcciones de email oficiales en el Help Center. Las únicas válidas para comunicaciones de marketing y notificaciones son dominios terminados en @anthropic.com o @claude.com. Cualquier variación es falsa.

Reglas prácticas:

• Accedé a Claude exclusivamente desde claude.ai o las apps móviles oficiales (App Store / Google Play buscando “Claude by Anthropic”).
• No descargues ejecutables de Claude desde links en emails, nunca. La versión desktop oficial se descarga desde el sitio oficial.
• Si recibís un email de Anthropic que no esperabas, entrá manualmente a claude.ai y verificá si hay alguna notificación o cambio en tu cuenta. Si no hay nada, el email era falso.
• Si usás Claude en tu empresa, configurá DMARC/DKIM correctamente en tu dominio para que los atacantes no puedan spoofear tu propio dominio en ataques internos.

Comparativa: phishing tradicional vs phishing con IA

Qué está confirmado / Qué no

Confirmado

• Campaña activa de malware PlugX disfrazado de Claude Pro para Windows, detectada por Malwarebytes en abril de 2026.
• Los emails se enviaron desde infraestructura de Kingmailer y CampaignLark (plataformas legítimas de email marketing).
• Anthropic solo usa dominios @anthropic.com y @claude.com para emails oficiales.
• PlugX da acceso remoto total al equipo infectado.
• El 82,6% del phishing analizado entre sep 2024-feb 2025 contenía texto generado con IA (Kaspersky).

No confirmado / Pendiente

• Atribución del ataque a un grupo específico (el RAT PlugX tiene historial APT chino, pero en esta campaña no hay atribución pública confirmada).
• Cantidad total de víctimas o sistemas infectados por esta campaña.
• Si los emails de phishing en este caso específico fueron generados con IA o redactados manualmente.

Errores comunes que te dejan expuesto

Error 1: asumir que si llegó a la bandeja de entrada, es seguro. El caso de esta campaña lo ilustra: Kingmailer y CampaignLark son plataformas legítimas. Los emails pasaron los filtros antispam porque salían de infraestructura con buena reputación. Que un email no sea spam no significa que sea legítimo. Relacionado: vulnerabilidades en plataformas fintech.

Error 2: confiar en que vas a notar el phishing de IA por el estilo del texto. Antes podías. Hoy no. El texto generado por IA con un buen prompt es indistinguible del humano para la mayoría de lectores. El dominio del remitente y el contexto inesperado del email son las señales que quedan, no la calidad de la redacción.

Error 3: instalar software desde links en emails “de soporte”. Anthropic no te va a pedir que descargues nada desde un email. Ninguna empresa de software seria lo hace para actualizaciones de seguridad urgentes. Si el email dice “descargá este parche crítico”, es phishing. Siempre.

Preguntas Frecuentes

¿Qué es el phishing con IA y cómo funciona?

El phishing con IA usa modelos de lenguaje para generar emails fraudulentos sin los errores gramaticales típicos del phishing tradicional. Los atacantes prompt-engineerizan un LLM para producir mensajes personalizados, en el idioma local, con tono corporativo correcto, a escala masiva y a costo mínimo. El resultado son emails que pasan filtros básicos y que el usuario promedio no distingue de comunicación legítima.

¿Cómo identifico un email falso de Claude o Anthropic?

Verificá el dominio del remitente: solo @anthropic.com y @claude.com son oficiales. Si el email te pide descargar algo, es falso: Anthropic no distribuye software por email. Si llegó sin que hayas pedido nada (restablecimiento de contraseña, notificación de cuenta), entrá directamente a claude.ai para verificar si hay alguna alerta real en tu cuenta.

¿Qué hace el malware PlugX que instalaba el fake Claude?

PlugX es un Remote Access Trojan que da al atacante control remoto completo del equipo infectado: captura de pantalla, keylogging, acceso a archivos, ejecución de comandos. En este caso, el MSI instalaba la app real de Claude en paralelo para que el usuario no notara la infección. El vector inicial era un sitio web falso que imitaba la página de descarga oficial de Claude. Cubrimos ese tema en detalle en regulaciones sobre protección de datos.

¿Puedo protegerme del phishing generado por inteligencia artificial?

Sí. La clave es MFA con FIDO2 (passkeys o llaves físicas), que resiste phishing aunque hagas clic en un link falso. Completá eso con filtros de email con análisis semántico en vez de reglas estáticas, y entrenamiento periódico con simulaciones de phishing reales para tu equipo. No alcanza con “tener cuidado”: el texto ya no es la señal de alerta que era antes.

¿Puedo seguir usando Claude aunque haya recibido un email sospechoso?

Sí, podés seguir usando Claude con normalidad desde claude.ai. El hecho de que existan campañas de phishing que usan el nombre de Claude no afecta la plataforma en sí. Lo que tenés que evitar es hacer clic en links de ese email o descargar cualquier archivo que venga adjunto o enlazado. Si entraste al email pero no descargaste ni hiciste clic en nada, no hay riesgo.

Conclusión

Lo que cambió con el phishing generado por IA no es el objetivo, es la dificultad de detección. El texto ya no te avisa. La única señal que sobrevivió es el dominio del remitente, y en casos donde los atacantes usan plataformas legítimas de envío, incluso eso requiere inspección manual del header del email.

En el caso concreto del fake Claude Pro detectado en abril de 2026, la única pista visible era un typo en el nombre de un archivo: “Cluade”. Eso es todo lo que separó a los usuarios atentos de una infección con acceso remoto total a su equipo.

La respuesta práctica: activá FIDO2 en todas tus cuentas críticas, nunca descargues software desde links en emails, y cuando tengas dudas sobre una comunicación de Anthropic, entrá directamente a claude.ai y verificá ahí.

Fuentes

• Malwarebytes – Fake Claude site installs malware (análisis técnico, abril 2026)
• Anthropic Help Center – Direcciones de email oficiales de marketing
• HackRead – Fake Claude AI installer y malware PlugX en Windows
• Kaspersky Latam – Estadísticas de phishing con IA
• WeLiveSecurity – Claude y ciberataques a organismos gubernamentales