Un reporte falso en Sentry basta para hackear a Claude Code y Cursor
Imagínate esto: estás trabajando en tu código, ves un error en Sentry y le pides a tu asistente de IA (como Claude Code o Cursor) que lo revise y lo arregle. En cuestión de segundos, la IA ejecuta un comando en tu terminal para solucionarlo. Parece magia, ¿verdad? El problema es que unos investigadores acaban de descubrir que ese simple flujo de trabajo puede entregarle las llaves de tu empresa a un atacante.
A mediados de junio de 2026, la firma de ciberseguridad Tenet Security sacó a la luz una técnica a la que bautizaron como "Agentjacking". En términos simples, es el secuestro de agentes de Inteligencia Artificial que escriben código. Y lo más preocupante es que no requiere phishing, ni instalar malware, ni vulnerar la red de la empresa de antemano.
¿Cómo funciona la trampa?
Todo gira en torno a cómo se conectan las herramientas de monitoreo con la IA. Sentry, que es súper popular para detectar caídas en las aplicaciones, usa unas claves públicas llamadas DSN (Data Source Name). Su función es recibir reportes de errores de los usuarios de forma pasiva.
Los atacantes descubrieron que pueden agarrar un DSN público de cualquier empresa y enviar un reporte de error falso. Este reporte está disfrazado con formato de código, pero adentro lleva instrucciones ocultas.
Cuando el desarrollador le pide a Claude Code, Cursor o Codex que se conecte a Sentry (usando el protocolo MCP) para ver qué falló, la IA lee el error. Como los agentes actuales no saben distinguir entre texto informativo y órdenes ejecutables, la IA toma el código malicioso del atacante y lo corre directamente en la computadora del desarrollador, pensando que son los pasos recomendados para arreglar el problema.
Las consecuencias del Agentjacking
En las pruebas que hizo Tenet Security, tuvieron un éxito del 85% engañando a las IA. Lograron que los asistentes ejecutaran comandos que robaban variables de entorno, tokens de GitHub, claves de AWS y contraseñas locales en la máquina del programador. Incluso llegaron a comprometer la estación de trabajo de un desarrollador dentro de una compañía tecnológica valorada en 250 mil millones de dólares.
El ataque afecta principalmente a Claude Code, Cursor y Codex, porque son los que interactúan con herramientas externas. Vale la pena aclarar que esto no es un fallo directo de Datadog o Jira (como se rumoreaba erróneamente en algunos foros), sino un problema de arquitectura sobre cómo los agentes de IA confían ciegamente en lo que leen de fuentes externas como Sentry.
¿Qué hacer al respecto?
Sentry ya reconoció el problema y aplicó filtros globales para bloquear la inyección de estas cadenas de código malicioso. Además, Tenet lanzó una herramienta gratuita llamada Agent-JackStop para mitigar el riesgo.
Si tu equipo usa asistentes de código conectados a repositorios o herramientas de monitoreo, la recomendación es clara: audita los permisos que le das a la IA. Un asistente no debería tener libertad absoluta para ejecutar comandos en la terminal sin antes requerir la aprobación humana. La IA es excelente para sugerir soluciones, pero dejarla correr comandos a ciegas basándose en logs públicos es jugar a la ruleta rusa con la seguridad de la empresa.
