IA cruzada: cuando tu conversación privada con Claude apareció en la pantalla de otro

IA cruzada: cuando tu conversación privada con Claude apareció en la pantalla de otro

IASeguridadPrivacidadClaudeGPTFuga de DatosHTTP

Fuentes:HN + GitHub Issue + web research · HN

El 4 de julio de 2026, un desarrollador abrió un issue en GitHub. Estaba usando Claude Code, el asistente de programación de Anthropic, dentro de un espacio de trabajo corporativo con todas las garantías de seguridad. Iba a pedirle a la IA que le ayudase con una tarea cuando, de repente, el modelo cambió de tema y le preguntó: «¿De qué color quieres los ladrillos para el templo de Minecraft?»

Captura del leak en Claude Code: la IA hablando de repente de un templo de Minecraft ▲ La sesión de Claude Code muestra contenido sobre Minecraft totalmente ajeno a la tarea en curso. Fuente: GitHub Issue #74066

Nunca había hablado con la IA sobre Minecraft. Revisó todos los historiales de conversación de su equipo y no encontró ni rastro de «templo» ni de «ladrillos». Y lo más inquietante: poco después le pasó lo mismo en la app móvil de Claude. La IA se puso a hablar de decoración de interiores y trípticos mientras él trabajaba con una hoja de cálculo.

El incidente ya era bastante perturbador por sí solo. Pero lo que lo catapultó a la portada de Hacker News —260 puntos— fue la avalancha de testimonios similares que aparecieron en los comentarios. Y no venían de una sola empresa.

No es solo Claude

Uno de los comentarios más citados lo firmaba un usuario anónimo. Afirmaba usar a diario los servicios de IA de varias compañías y haber presenciado al menos dos episodios de «cruce de conversaciones»: uno con un modelo de Claude y otro con un modelo de GPT, de dos proveedores distintos. Dos gigantes tecnológicos que valen más de un billón de dólares cada uno.

Una de las empresas compartió un informe post mortem detallado. El fallo estaba en la pasarela API —la «centralita» que encamina las peticiones— y en concreto en la gestión del código de estado HTTP 100. Dicho en sencillo: la pasarela «se equivocó al contar» al asignar identificadores a las peticiones. Tu pregunta recibió la respuesta del usuario anterior, y tu respuesta se la enviaron al que llegó después.

La otra empresa se negó a dar explicaciones. Su respuesta fue un escueto «confía en nosotros, no volverá a ocurrir».

Otros usuarios contaron que, al usar modelos de IA a través de plataformas de terceros, veían con frecuencia enlaces y archivos que otras personas habían enviado a la IA. Y otro más relató que Claude mencionó por iniciativa propia un lugar que solo conocía un amigo suyo —un amigo que, casualmente, usaba Claude en la misma oficina.

¿Cómo pudo pasar esto?

Si hubiera que resumirlo en una frase: para que la IA corra más rápido y cueste menos, varias empresas montaron «canales compartidos» en la infraestructura, y esos canales a veces entregan el paquete en la puerta equivocada.

Se puede entender en tres capas.

Primera capa: HTTP Request Smuggling — «la etiqueta mal puesta» del mundo web

En internet, cuando envías una petición a un sitio web, navegador y servidor se comunican mediante el protocolo HTTP. Parece simple, pero es endiabladamente complejo, sobre todo cuando un mismo servidor atiende a miles de personas a la vez. Para ganar eficiencia, el servidor mete varias peticiones de distintos usuarios en la misma conexión, como quien comparte coche.

El problema aparece cuando, durante ese «viaje compartido», los paquetes de datos de una persona se pegan con los de otra —por ejemplo, porque las cabeceras que indican la longitud del mensaje contienen un error. El servidor acaba entregándole a A la respuesta que era para B. En ciberseguridad esto tiene nombre: HTTP Request Smuggling.

El investigador James Kettle lleva años demostrando variantes de este ataque en la conferencia DEF CON. El título de su última charla lo dice todo: «HTTP/1.1 debe morir». Porque solo migrando de forma completa al protocolo HTTP/2, mucho más estricto, se puede eliminar estructuralmente este tipo de vulnerabilidad. Lo irónico es que, seis años después de la primera demostración de Kettle, en pleno 2026, empresas que valen un billón de dólares sigan tropezando con la misma piedra.

Segunda capa: caché KV compartida — el riesgo del «borrador comunitario»

Los modelos grandes de IA mantienen durante la conversación algo llamado «caché KV». Piensa en ello como la «hoja de borrador» de la IA: en cada inferencia, el modelo anota lo que ya ha calculado, y si más adelante se encuentra con un inicio parecido, reutiliza el trabajo previo para ahorrar una cantidad enorme de cómputo.

Para los proveedores, esta optimización es irresistible. Si detectan que varios usuarios comparten el mismo «prompt de sistema» —por ejemplo, las instrucciones genéricas que trae Claude Code al arrancar—, pueden hacer que todos esos usuarios compartan una única caché. El ahorro en costes de computación se dispara.

Pero la caché se indexa por «claves». Si la función que genera esas claves tiene un bug, si la limpieza de caché se retrasa, o si por cualquier motivo los datos de usuarios distintos acaban alojados en la misma ranura, un fragmento de la conversación de A puede servirse como caché de B. En HN alguien comentó que una práctica habitual para mitigarlo es «sacar todo lo específico de cada usuario del prompt de sistema y meterlo en el primer mensaje del usuario». Pero eso es un parche de ingeniería, no una garantía arquitectónica.

Tercera capa: el conflicto estructural entre velocidad y seguridad

Los dos problemas anteriores apuntan a la misma tensión de fondo: la pugna entre la velocidad de respuesta que persiguen las empresas de IA (más caché, conexiones compartidas) y la privacidad del usuario (aislamiento estricto).

No es un juicio moral; es una ley física. Un servicio de IA que no comparte absolutamente nada de caché es carísimo: cada mensaje se calcula desde cero y el coste se puede multiplicar. Un servicio que optimiza hasta el último rincón necesita compartir infraestructura entre usuarios, y eso abre la puerta al cruce de sesiones.

Como dijo un comentario muy votado en HN: «Hay incentivos enormes para optimizar al máximo, así que doy por hecho que están haciendo virguerías increíblemente ingeniosas. Y cuanto más ingeniosa es la virguería, más probable es este tipo de bug.»

No es solo «alucinación»

Alguien podría pensar: ¿y si solo fue una alucinación de la IA? Es decir, ¿y si el modelo se inventó lo de Minecraft sin que hubiera una fuga real?

La objeción es razonable. Las IA alucinan a menudo. Pero en este caso hay varios detalles que debilitan la hipótesis de la alucinación:

El desarrollador revisó todos los historiales locales y no encontró las palabras «temple» ni «bricks» (salvo en un archivo irrelevante llamado minecraft.py de una librería de sintaxis). Eso descarta que la IA saltase a Minecraft a partir de alguna palabra suelta de la conversación real.

Además, el mismo usuario vivió un episodio parecido en otro dispositivo (la app del móvil): la IA se puso a hablar de decoración de interiores, sin relación alguna con la tarea, justo en el umbral donde la caché caduca (más de cinco minutos desde la última interacción). Que dos alucinaciones independientes coincidan en el mismo usuario y en circunstancias tan parecidas es estadísticamente muy forzado.

Y, sobre todo, varios usuarios de distintas empresas relataron experiencias similares en el hilo de HN. Alguno tenía incluso un informe oficial de incidente. Todo apunta a un problema sistémico, no a una conducta esporádica del modelo.

Dicho esto, y siendo justos, el autor del issue de GitHub no puede demostrar al 100 % la procedencia de la fuga —no sabe si los datos venían de un compañero de oficina o de un perfecto desconocido. Esa es precisamente la parte más perversa de este tipo de bug: se puede percibir, pero es muy difícil de probar de forma concluyente.

¿Qué significa esto para el usuario común?

Si solo usas la IA para chatear, pedirle recetas o que te escriba un texto, el impacto directo probablemente sea bajo. Si no manejas información sensible y la conversación se cruza, el daño es anecdótico.

Pero si tú o tu empresa estáis usando IA con datos comerciales confidenciales, historiales médicos, documentos legales o información financiera, la señal de alarma merece atención. Lo que este episodio revela es que la infraestructura actual de los servicios de IA no ha alcanzado el nivel de aislamiento multiusuario que se le exige a un producto de seguridad empresarial —ni siquiera en los planes de pago.

En la discusión de HN, el usuario pocksuppet —que acuñó el concepto de request smuggling— fue muy claro: «Cada vez que multiplexas peticiones de varios clientes en una misma conexión ascendente, eres vulnerable.» El problema va mucho más allá de este bug concreto: apunta a una fragilidad inherente a toda la infraestructura de internet. Los servicios de IA solo han tenido la mala suerte de exponerla en una capa especialmente sensible.

Al cierre de esta edición, Anthropic no ha emitido ninguna comunicación oficial. El issue de GitHub sigue abierto, con las etiquetas «bug» y «area:security». El hilo de HN continúa creciendo y los testimonios de usuarios que han vivido lo mismo se siguen acumulando.

Este episodio pone de manifiesto un punto ciego bastante generalizado en la industria de la IA: mientras todo el mundo compite por mejorar los modelos y reducir el coste de inferencia, la pregunta más básica —«¿están realmente aislados los usuarios entre sí?»— ha quedado relegada al final de la lista de prioridades.

Hay un detalle del hilo de HN que se me quedó grabado. Cuando los usuarios presionaron a una de las empresas billonarias para obtener explicaciones, la respuesta fue «confía en nosotros». La otra empresa sí entregó un informe detallado. ¿La causa? Un contador mal incrementado. Se equivocaron al contar.

Enlaces de referencia: