Agentjacking: cómo un falso error en Sentry secuestró Claude Code y expuso el talón de Aquiles de la IA
Un solo evento de error inyectado a través de Sentry, Datadog o Jira puede tomar el control de un agente de IA con todos los privilegios del desarrollador, sin levantar ninguna alerta de seguridad.
2 de julio de 2026 · 3 min de lectura
¿Qué ha ocurrido?
El 12 de junio de 2026, la firma de seguridad Tenet Security reveló una nueva clase de ataque denominada agentjacking. En pruebas controladas, un solo evento de error falso enviado a través de Sentry —usando una credencial pública (DSN) que no requiere autenticación— logró que el agente de codificación Claude Code ejecutara código arbitrario del atacante con los mismos privilegios que el desarrollador. El ataque también funcionó en Cursor y Codex, y se probó con éxito en más de 100 objetivos, con una tasa de éxito del 85%.
La vulnerabilidad no reside en Sentry en sí, sino en la arquitectura de confianza de los agentes de IA: estos agentes procesan datos provenientes de herramientas como Sentry, Datadog, PagerDuty o Jira como si fueran diagnósticos legítimos, sin verificar su origen. Como señaló Sentry, el fallo es "técnicamente indefendible" desde su lado, ya que los DSN están diseñados para ser públicos en aplicaciones frontend.
¿Por qué es importante?
El ataque pasa desapercibido para todos los sistemas de seguridad tradicionales: EDR, WAF, IAM y firewalls. Cada paso en la cadena está autorizado: el atacante envía una llamada API válida a Sentry usando un DSN público, el servidor MCP devuelve el evento inyectado como salida auténtica, y el agente ejecuta la instrucción usando los permisos del desarrollador. No se roban credenciales, no se violan políticas, no se rompe el perímetro.
Tenet identificó 2.388 organizaciones con credenciales DSN de Sentry públicamente expuestas que podrían usarse para inyectar eventos maliciosos a escala. Aunque es una prueba de concepto, en uno de los entornos capturados se encontró una clave secreta de AWS en vivo y URLs de repositorios privados.
Además, cinco encuestas independientes de 2026 muestran que las empresas confían en sus agentes de IA mucho más de lo que justifica su seguridad. Solo el 34% aplica los mismos controles a los agentes que a los humanos (Okta/Apprize360), el 33% reporta que sus agentes han excedido el alcance previsto (HiddenLayer), y el 31% no puede confirmar si ha sufrido una brecha de IA.
Consecuencias para el ecosistema
La Cloud Security Alliance ya clasificó el agentjacking como una vulnerabilidad sistémica de MCP. El ataque expone que la confianza ciega en los datos de herramientas de monitoreo y debugging es un vector de atque masivo. Las consecuencias inmediatas incluyen:
- Fuga de credenciales en la nube, tokens de control de fuentes y datos sensibles.
- Ejecución remota de código con los privilegios del desarrollador, sin dejar rastro en los logs de seguridad.
- Necesidad de repensar la arquitectura de permisos de los agentes: restringir qué pueden hacer con los datos que devuelven las herramientas externas.
¿Qué deben saber los lectores?
Si tu organización usa agentes de IA conectados a Sentry, Datadog, PagerDuty, Jira o cualquier fuente de datos MCP que los desarrolladores consideren confiable —y esos agentes pueden ejecutar comandos shell— entonces tu pila tiene el mismo punto ciego. La mitigación inmediata es auditar todos los DSN públicos expuestos y, sobre todo, restringir lo que los agentes pueden hacer con los datos que esas herramientas devuelven. No basta con revocar el DSN, porque Sentry los diseñó para ser públicos. La solución es aplicar el principio de mínimo privilegio a los agentes: que no ejecuten comandos basados en datos no verificados.
"El stack de seguridad tradicional no puede distinguir entre un desarrollador ejecutando 'npm install' y un agente ejecutando ese comando en respuesta a un evento de error malicioso. Esa distinción no existía hasta que los agentes de IA se convirtieron en herramientas de producción." — The New Stack, junio 2026
El agentjacking no es un bug en Sentry, es un bug en cómo diseñamos la confianza de los agentes. Hasta que no se corrija, cualquier herramienta de monitoreo que un agente consuma es un vector de ataque potencial.
Puntos clave
- Un ataque de agentjacking logró que Claude Code ejecutara código malicioso a través de un falso error en Sentry, con un 85% de éxito en pruebas.
- Más de 2.300 organizaciones exponen credenciales DSN de Sentry que permitirían inyectar eventos maliciosos a escala.
- Los sistemas de seguridad tradicionales (EDR, WAF, IAM) no detectan el ataque porque cada paso está autorizado.
- La Cloud Security Alliance clasificó el agentjacking como vulnerabilidad sistémica de MCP.
- Solo el 34% de las organizaciones aplica los mismos controles de seguridad a los agentes de IA que a los humanos.
Preguntas frecuentes
¿Qué es agentjacking?
Es un ataque en el que un actor malicioso inyecta instrucciones maliciosas en datos que un agente de IA consume de herramientas como Sentry, Datadog o Jira. El agente ejecuta esas instrucciones con los privilegios del desarrollador, sin que los sistemas de seguridad lo detecten.
¿Qué herramientas de IA son vulnerables?
Claude Code, Cursor y Codex han sido probados y son vulnerables. Cualquier agente que consuma datos de herramientas MCP y pueda ejecutar comandos shell podría serlo.
¿Cómo protegerse?
Auditar las credenciales DSN de Sentry expuestas públicamente y, sobre todo, restringir lo que los agentes pueden hacer con los datos que devuelven las herramientas externas. Aplicar el principio de mínimo privilegio a los agentes.
¿Sentry tiene la culpa?
No. Sentry diseñó sus DSN para ser públicos por razones arquitectónicas. La vulnerabilidad está en cómo los agentes confían en los datos de esas herramientas sin verificación.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.