México, 26 de mayo de 2026. ---Dos de cada tres mexicanos ya usan herramientas de inteligencia artificial en su vida diaria y los ciberdelincuentes lo notaron. Investigadores de la firma británica Sophos publicaron un análisis sobre una página falsa que imita al chatbot Claude AI, propiedad de la compañía estadounidense Anthropic, y que en realidad instala un programa espía recién documentado al que los analistas bautizaron como Beagle.
El sitio fraudulento, alojado en el dominio claude-pro[.]com, funciona como cebo de una campaña activa de publicidad maliciosa en buscadores y posicionamiento contaminado en Google.
El equipo de Sophos X-Ops, encabezado por los investigadores Chaitanya Ghorpade, Gabor Szappanos, Rahul Dugar, Rahil Shah y Matt Wixey, rastreó la infraestructura del sitio falso hasta un servidor montado en marzo de 2026.
La página imita los colores, las fuentes y la estructura visual del portal legítimo de Claude, aunque la copia es burda: la mayoría de los enlaces redirige a la portada y solo destaca un botón de descarga de un supuesto producto llamado Claude-Pro Relay.
Hasta el momento, Anthropic no había emitido postura al cierre de esta redacción sobre el caso de suplantación.
El archivo que entrega el sitio pesa alrededor de 505 megabytes, viaja como un ZIP llamado Claude-Pro-windows-x64.zip y contiene un instalador MSI. Una vez ejecutado, deposita tres archivos en la carpeta de inicio de Windows: NOVupdate.exe, NOVupdate.exe.dat y avk.dll.
El primero es un actualizador firmado digitalmente del antivirus alemán G DATA, recurso que los atacantes secuestran mediante una técnica conocida como DLL sideloading para que el sistema operativo cargue una versión maliciosa de la librería en lugar de la legítima.
Investigadores de Sophos X-Ops descubrieron que claude-pro[.]com imita al sitio oficial de Anthropic para distribuir un instalador troyanizado de 505 megabytes. rotativo.com.mx
Beagle ejecuta ocho comandos sobre la computadora infectada
Una vez activo, Beagle se comunica con el servidor de control license[.]claude-pro[.]com, alojado en la nube de Alibaba en la dirección 8.217.190.58, sobre los puertos TCP 443 y UDP 8080.
El backdoor admite ocho instrucciones: ejecutar comandos del sistema, subir archivos, descargar archivos, crear directorios, listar contenido, eliminar directorios, renombrar archivos y autodesinstalarse. Todo el tráfico viaja cifrado con una llave AES fija que Sophos extrajo del código.
¿Cómo confirmar si una computadora fue infectada?
Sophos recomienda revisar la carpeta de inicio de Windows en busca de los tres archivos sospechosos y bloquear conexiones salientes hacia claude-pro[.]com y license[.]claude-pro[.]com.
La firma localizó muestras adicionales con la misma llave de cifrado en febrero, marzo y abril de 2026, algunas suplantando actualizadores de Microsoft Defender, CrowdStrike, SentinelOne y Trellix.
Para las y los usuarios mexicanos, la recomendación operativa es descargar Claude exclusivamente desde claude.ai y desconfiar de los resultados patrocinados que aparezcan en buscadores al teclear el nombre del asistente.
