Anthropic Provocó una Caída de $15 Mil Millones en Acciones de Ciberseguridad

8 min read

Tres hallazgos en mi SaaS de e-commerce. Dos que ya conocía y había estado posponiendo. Una política RLS de Supabase que había estado completamente abierta desde el primer día — ese tipo de bug que funciona perfectamente hasta que alguien decide atacar tu API con un payload diseñado.

Arreglé los tres, hice push, volví a asar camarones en mi terraza en Cancún. Luego abrí Twitter y vi cómo se evaporaron $15 mil millones de acciones de ciberseguridad. CrowdStrike cayó 8%. Okta cayó 9.2%. SailPoint cayó 9.4%. Todo el ETF de ciberseguridad en su punto más bajo desde noviembre de 2023.

Por culpa de la herramienta que acababa de usar. La que lleva seis meses en la terminal de todo el mundo.

TL;DR: Anthropic lanzó "Claude Code Security" el 20 de febrero y hundió $15 mil millones en acciones de ciberseguridad. Pero la función principal — /security-review — ha sido un comando gratuito en Claude Code desde agosto de 2025. Wall Street entró en pánico porque confundió el análisis de código con la protección de endpoints (es como cancelar tu seguro de auto porque alguien abrió una autoescuela). El dashboard empresarial está bien, pero la versión CLI ya detecta bugs reales. Te muestro ambas, incluyendo cómo personalizarla para tu stack específico.

Anthropic Claude Code Security herramienta análisis vulnerabilidades código ciberseguridad
Cuando tu herramienta de debugging accidentalmente destroza Wall Street

El Comando Que Nadie Leyó en el Changelog (excepto yo 🤓)

/security-review

Sin flags, sin configuración, sin asistente de instalación.

Escribes esto en Claude Code y destroza tus cambios pendientes buscando inyección SQL, XSS, inyección de comandos, bypasses de autenticación, IDOR, fallas de sesión, secretos hardcodeados, y como una docena más de categorías de vulnerabilidades.

Empecé a usarlo en mis proyectos SaaS desde septiembre. ¿Ese primer hallazgo de RLS en Supabase? Había estado ahí durante cuatro meses. La política decía "permitir todo" en una tabla que almacenaba API keys. No "permitir autenticados". No "permitir donde user_id coincida". Solo... permitir todo. Y funcionaba. Todas las pruebas pasaban. Cada función se comportaba correctamente. Eso es lo jodido de los bugs de seguridad — son invisibles hasta que son catastróficos.

Si has leído mi artículo sobre Prompt Contracts, sabes que estoy obsesionado con las verificaciones pre-deploy. /security-review es la verificación que no sabía que necesitaba hasta que encontró algo con lo que había estado viviendo durante meses.

Por Qué Me Importa la Seguridad (A la Mayoría de Devs No)

Cada desarrollador con el que he trabajado piensa en funcionalidades. ¿Funciona el botón? ¿Se envía el formulario? Genial, a producción.

Siempre he sido el pesado que piensa en sistemas — qué pasa cuando alguien envía un JWT malformado, qué pasa si el cron job se ejecuta dos veces, qué pasa si alguien hace curl a tu endpoint con un payload que no anticipaste.

Esto no vino de un título en CS o una certificación de seguridad. Vino de TryHackMe.

Recuerdo la sala exacta — era un CTF de nivel principiante, algo sobre una aplicación web vulnerable con una función de subida de archivos. El walkthrough mostraba cómo un path traversal en el handler de subida te permitía escribir en ubicaciones arbitrarias del servidor. El dev había validado la extensión del archivo pero no la ruta. Error clásico. El atacante subió una shell PHP a /var/www/html/ y tuvo RCE completo en unos 40 segundos.

Cerré la pestaña, abrí mi propio proyecto, y encontré exactamente el mismo patrón en mi handler de subida. No código idéntico, pero la misma categoría de error — validar lo que esperas mientras ignoras lo que no. Me quedé despierto hasta que los camarones se enfriaron reescribiendo todo ese módulo.

Eso es lo bueno de los writeups de CTF. No te enseñan teoría de seguridad. Te enseñan paranoia. Y una vez que has visto a alguien conseguir una shell a través de un bug que tú también tienes, nunca vuelves a deployar de la misma manera.

La mayoría de devs no tienen esa paranoia. No deberían necesitarla. /security-review es paranoia como servicio.

Personalizando el Escaneo para TU Stack

El escaneo por defecto detecta los grandes éxitos de OWASP. Suficiente para la mayoría. Pero si copias el archivo security-review.md del repo de GitHub de Anthropic a tu directorio .claude/commands/ del proyecto, desbloqueas algo mejor.

# .claude/commands/security-review.md
---
allowed-tools: Bash, Read, Write
description: Revisión de seguridad personalizada para PropulseCom
model: claude-opus-4-6
---
Analiza el codebase actual para:
- Gaps en políticas RLS de Supabase (revisar cada tabla)
- Verificación de firma de webhooks de Clerk
- Rutas API sin middleware de auth
- API keys hardcodeadas en archivos .env.example
- Validación de input en funciones Convex

Ese frontmatter es todo lo que necesitas.

Ahora cuando ejecuto /security-review, no solo revisa cosas genéricas de OWASP — conoce mi stack. Clerk para auth, Convex para el backend, Supabase para la capa de base de datos. Revisa los bugs que aparecen en mi arquitectura.

La versión GitHub Action hace lo mismo en cada PR. Pones anthropics/claude-code-security-review@main en tu YAML de workflow, le das una API key de Claude como secreto, y cada pull request recibe una revisión de seguridad antes de que cualquier humano lo vea. Anthropic detectó un RCE de DNS rebinding en su propio codebase con esta misma action. También detectó un SSRF en su proxy interno de credenciales. Ambos antes del merge.

Los bugs que mantienen despiertos a los CISOs, detectados por un archivo YAML en tu directorio .github/workflows/.

La seguridad no es una funcionalidad que shipeas. Es una superficie que mantienes.

Comando security-review Claude Code terminal análisis vulnerabilidades SQL XSS
El comando que nadie leyó pero todos necesitaban

El Dashboard Empresarial (o Por Qué Wall Street Entró en Pánico)

El 20 de febrero, Anthropic lanzó "Claude Code Security" — la versión empresarial. Dashboard, ratings de severidad, scores de confianza, verificación multi-etapa, aprobación de parches con un clic.

La gran mejora sobre el CLI: escanea tu codebase completo, no solo los cambios pendientes. Y ejecuta un loop de autocrítica donde el modelo trata de refutar sus propios hallazgos antes de molestarte. Menos falsos positivos, scores de confianza más altos.

TryHackMe CTF vulnerabilidades web path traversal upload archivos seguridad
Cuando un CTF te enseña más paranoia que cuatro años de universidad

La estadística que hizo que todos los vendors de SAST se atragantaran con su café: el red team de Anthropic usó Opus 4.6 para encontrar más de 500 vulnerabilidades de alta severidad previamente desconocidas en codebases de código abierto en producción. Bugs que habían sobrevivido años — décadas, en algunos casos — de revisión humana y escaneo tradicional. La divulgación responsable aún está en curso.

Quinientos bugs. De décadas. Encontrados por un modelo que razona sobre código en lugar de hacer match con patrones regex.

Pero — y quiero ser honesto aquí — el dashboard es esencialmente una versión productizada de lo que el CLI ya hace. Si eres un dev solo o un equipo pequeño, el comando te lleva al 80% del camino. La versión empresarial añade el loop de verificación y el dashboard. Vale la pena si manejas un equipo de ingeniería de 50 personas. Excesivo si estás shipeando desde tu departamento en un VPS de Hostinger como describí en mi artículo Anthropic Mató Mi Setup.

Wall Street Perdió $15 Mil Millones Por un Error de Categoría

Ok, esta es la parte que realmente me hizo reír a carcajadas. Vamos a desglosar qué pasó.

  • CrowdStrike cayó 8%. CrowdStrike hace detección y respuesta de endpoints — EDR. Monitorean tus servidores en funcionamiento para amenazas activas en tiempo real. Claude Code Security escanea tu código fuente para bugs antes de que hagas deploy. Estas dos cosas literalmente no tienen nada que ver entre sí.
  • Okta cayó 9.2%. Okta maneja gestión de identidad — SSO, MFA, ciclo de vida de usuarios. Claude Code Security no toca infraestructura de autenticación. Ni un poco.
  • Cloudflare cayó 8.1%. Cloudflare ejecuta WAFs, mitigación DDoS, CDN. Protegen tu app después de que está live. Claude revisa tu código antes de que se shipee.
  • SailPoint cayó 9.4%. Gobernanza de identidad. Zscaler cayó 5.5%. Networking zero-trust.

Ninguna de estas empresas hace lo que hace Claude Code Security.

Desarrollador debugging código seguridad vulnerabilidades RLS Supabase API keys
Plot twist: tu código funciona perfectamente hasta que alguien decide atacarlo

Barclays llamó a la venta "ilógica". Un post en X lo clavó: los inversores no pudieron diferenciar entre AppSec y seguridad de endpoints, así que vendieron todo lo que tuviera "cyber" en la descripción. Es como vender las acciones de tu plomero porque alguien inventó un mejor extintor. Misma casa, problema completamente diferente.

Wall Street vendió las empresas equivocadas.

Las empresas que realmente deberían estar sudando son los vendors puros de SAST — Snyk, SonarQube, Semgrep, Checkmarx, CodeQL. Los que hacen escaneo de código basado en patrones. Esa es la superposición competitiva real.

Pero — y este es un gran pero — Claude no los está reemplazando hoy. El enfoque basado en razonamiento sobresale en fallas de lógica de negocio, bypasses de auth, y cadenas de vulnerabilidades multi-archivo que los pattern matchers literalmente no pueden ver. Pero para las vulns aburridas y bien documentadas como inyección SQL estándar, Semgrep aún las detecta más rápido y de manera más confiable.

La jugada real no es "Claude reemplaza a Snyk". Es ejecutar ambos. Pattern matching para los bugs conocidos. Razonamiento AI para los bugs que solo un humano detectaría — excepto que ahora no necesitas al humano.

La mejor cerradura en tu puerta no significa nada si hay una ventana que olvidaste que existía.

Qué Significa Esto Si Shipeas Código Desde Tu Departamento

No tienes un equipo de seguridad. No tienes un CISO. Tienes una MacBook, Claude Code, y un VPS de $5. Bienvenido al club.

Aquí está todo tu stack de seguridad en 2026:

Antes de cada deploy: escribe /security-review en Claude Code. Toma 30 segundos. Detecta las cosas que estás demasiado metido en modo-funcionalidad para notar.

En cada PR: añade la GitHub Action. Cuesta unos centavos en llamadas API. Revisa cada pull request antes del merge.

Una vez: copia security-review.md a .claude/commands/ y personalízalo para tu stack. Cinco minutos de setup, mejora permanente.

Eso es todo. Ese es el presupuesto de seguridad para un fundador SaaS solo. Y honestamente — pero divago, esto va a sonar como presumir — es más de lo que tenían la mitad de los equipos "empresariales" que he consultado hace tres años. Tenían tickets de Jira etiquetados "revisión de seguridad" que nadie abría nunca. Tú tienes un modelo que realmente lee el código.

Si eres el tipo de dev que nunca ha pensado en seguridad — sin ofender, en serio — este es el punto de entrada de menor esfuerzo que existe. No necesitas entender OWASP. No necesitas saber qué significa IDOR. Escribes seis palabras y Claude te dice qué está roto.

La seguridad siempre ha sido el impuesto que los devs se niegan a pagar. Anthropic acaba de hacer que la tasa de impuesto sea casi cero. La pregunta no es si lo usarás. Es cuánto esperarás antes de que tu primer escaneo encuentre algo que ha estado ahí durante meses. Como me pasó a mí.

Si shipeas código con Claude Code y aún no has ejecutado /security-review — esta noche. No mañana.

Escribo sobre las herramientas y workflows que realmente uso para shipear SaaS desde un servidor barato — las cosas que pruebo en prod, no las que leo en Hacker News. Si tu stack de seguridad hoy es "esperar que nadie encuentre mis endpoints", suscríbete. La próxima semana voy a destrozar algo más de lo que nadie está hablando.

Cada línea de código esconde un riesgo de seguridad. En mi newsletter semanal, desgloso cómo los dev detectan y previenen vulnerabilidades antes de que se conviertan en pesadillas.

Únete a la newsletter de producción