Vulnerabilidad crítica en Claude Code: actualiza ya
Se descubrió un fallo grave en Claude Code que permitía ejecutar comandos en tu equipo con solo abrir un enlace. Anthropic ya lo corrigió en la versión 2.1.118, pero si no has actualizado, sigues en riesgo.
Se descubrió un fallo grave en Claude Code que permitía a un atacante ejecutar comandos en tu computadora con solo hacerte abrir un enlace malicioso. Anthropic ya lanzó la versión 2.1.118 que corrige el problema, pero si no has actualizado, tu equipo sigue expuesto.
¿Qué es Claude Code y por qué esto importa?
Claude Code es la herramienta de línea de comandos de Anthropic pensada para desarrolladores: te permite interactuar con el modelo de IA directamente desde la terminal para escribir, revisar y depurar código. Es muy popular entre programadores que trabajan en proyectos locales, lo que hace que una vulnerabilidad de ejecución remota de comandos (RCE, por sus siglas en inglés) sea especialmente peligrosa.
Si usas Claude Code en tu flujo de trabajo diario —ya sea en tu laptop de trabajo o en tu PC de escritorio— este artículo es para ti.
¿Cómo funcionaba el ataque?
El hallazgo lo publicó Joern Schneeweisz, ingeniero de seguridad de GitLab, en su blog personal. El problema tiene dos capas:
Primera capa — Inyección de parámetros al arranque: Claude Code admite abrir proyectos mediante enlaces con el prefijo claude-cli://. Estos enlaces pueden incluir texto para precargar el prompt de la herramienta. El fallo está en que Claude Code procesaba esos parámetros de arranque sin verificar si el contenido era una instrucción legítima o texto disfrazado de instrucción. Un atacante podía colar comandos maliciosos dentro del texto del enlace y la herramienta los ejecutaba sin chistar.
Segunda capa — Se saltaba la advertencia de confianza: Normalmente, Claude Code te muestra un aviso cuando intentas abrir un proyecto desconocido. Pero si el enlace malicioso incluía el nombre de un proyecto que ya tenías guardado y marcado como seguro, ese aviso desaparecía por completo. Un atacante que supiera qué proyectos tienes en tu máquina podía construir un enlace diseñado a la medida para que no te apareciera ninguna alerta.
El investigador demostró el fallo abriendo la app Calculadora en macOS y escribiendo un archivo con información del sistema, todo sin ningún aviso ni confirmación. Un clic y listo.
¿Qué tan grave es esto en términos prácticos?
Muy grave. Combinando las dos vulnerabilidades, el escenario real sería algo así:
- Alguien te manda un enlace por Slack, correo, Discord o cualquier canal.
- El enlace usa el nombre de uno de tus repositorios reales.
- Tú haces clic sin sospechar nada porque no aparece ninguna advertencia.
- Se ejecutan comandos en tu equipo en segundo plano: robo de credenciales, instalación de malware, exfiltración de archivos.
No se necesitaba acceso previo a tu máquina ni contraseñas. Solo un clic.
¿Cómo saber si estás en riesgo y cómo actualizarte?
Es muy sencillo verificarlo. Abre tu terminal y ejecuta:
claude --version- Si el número es menor a 2.1.118, actualiza de inmediato.
- Si ya tienes 2.1.118 o superior, estás protegido.
Para actualizar, usa el gestor de paquetes con el que instalaste Claude Code (npm, pip o el instalador oficial de Anthropic). Si tienes dudas sobre cómo hacerlo, en ECAPRO podemos orientarte.
¿Qué lección deja esto para desarrolladores y empresas en México?
Más allá de Claude Code, este caso pone sobre la mesa un problema de diseño que puede estar presente en muchas herramientas similares: confiar ciegamente en el texto recibido sin verificar su origen.
Si en tu empresa o equipo de desarrollo usan herramientas internas que procesan parámetros de entrada —especialmente si pueden abrirse mediante enlaces o URLs personalizadas— vale la pena hacer una revisión. Algunas preguntas clave:
- ¿Tu herramienta valida que los parámetros de arranque vienen de una fuente confiable?
- ¿Muestra advertencias claras antes de ejecutar acciones sensibles?
- ¿Distingue entre instrucciones reales y texto que solo se parece a una instrucción?
En el contexto mexicano, donde muchos equipos de desarrollo trabajan con presupuestos ajustados y a veces sin un área de seguridad dedicada, este tipo de vulnerabilidades puede pasar desapercibida hasta que es demasiado tarde.
Conclusión
Anthropíc reaccionó rápido y el parche ya está disponible. Si usas Claude Code, actualiza ahora mismo, no lo dejes para después. Una vulnerabilidad así —ejecución de comandos sin advertencias, con un solo clic— es exactamente el tipo de fallo que los atacantes explotan antes de que la mayoría de los usuarios se enteren de que existe.
Vía Hipertextual
Preguntas frecuentes
¿Qué versión de Claude Code corrige la vulnerabilidad?
La versión 2.1.118 de Claude Code corrige el fallo de ejecución remota de comandos. Puedes verificar tu versión ejecutando 'claude --version' en la terminal y actualizar si el número es inferior a 2.1.118.
¿Cómo podía un atacante explotar la vulnerabilidad de Claude Code?
El atacante creaba un enlace malicioso con el prefijo claude-cli:// que incluía comandos disfrazados de texto normal. Si el enlace usaba el nombre de un proyecto que ya tenías guardado como seguro, Claude Code ejecutaba los comandos sin mostrarte ninguna advertencia.
¿Claude Code sigue siendo seguro de usar después del parche?
Sí, siempre que tengas instalada la versión 2.1.118 o superior. Anthropic corrigió tanto el fallo de inyección de parámetros como el bypass de la advertencia de confianza.
¿Esta vulnerabilidad afecta a usuarios de Windows o solo a macOS?
El fallo afecta a Claude Code en cualquier sistema operativo donde esté instalado, no solo en macOS. La prueba de concepto se demostró en Mac, pero la raíz del problema está en cómo la herramienta procesa los parámetros de arranque, lo cual aplica en todas las plataformas.
¿Qué debo hacer si no puedo actualizar Claude Code de inmediato?
Como medida temporal, evita hacer clic en enlaces claude-cli:// que recibas por mensajes, correo o redes sociales, especialmente si no los solicitaste. La actualización a la versión 2.1.118 es la única solución definitiva.
