7 min. de lectura<\/p>\n
Una regla de exclusi\u00f3n ausente en la canalizaci\u00f3n de construcci\u00f3n expuso el 31 de marzo de 2026 todo el c\u00f3digo de producci\u00f3n de Claude Code de Anthropic. 512.000 l\u00edneas de TypeScript, empaquetadas en un archivo de mapa de origen de 59,8 MB dentro del paquete p\u00fablico de NPM. Ese mismo d\u00eda, un ataque independiente contra la cadena de suministro afect\u00f3 al paquete NPM axios – uno de los paquetes JavaScript m\u00e1s utilizados del mundo – . Dos incidentes distintos, un ecosistema, un solo d\u00eda. Juntos ilustran por qu\u00e9, para los equipos de TI en 2026, la seguridad de la cadena de suministro de NPM ya no es un tema secundario.<\/strong><\/p>\n El 31 de marzo de 2026, a las 08:23 UTC, Chaofan Shou public\u00f3 su hallazgo en X. Shou es doctorando en la Universidad de California en Berkeley, cofundador de la startup de seguridad blockchain Fuzzland y investigador de bug bounty con 1,9 millones de d\u00f3lares estadounidenses en recompensas documentadas por vulnerabilidades reportadas. Su hallazgo: la versi\u00f3n 2.1.88 del paquete oficial de NPM @anthropic-ai\/claude-code conten\u00eda el archivo cli.js.map. Este archivo de mapa de origen de 59,8 MB inclu\u00eda, en su campo sourcesContent, el c\u00f3digo fuente completo en TypeScript: aproximadamente 1.900 archivos con 512.000 l\u00edneas de c\u00f3digo de producci\u00f3n.<\/p>\n Adem\u00e1s, el mapa de origen hac\u00eda referencia a un archivo ZIP alojado en un bucket p\u00fablico de Cloudflare R2 perteneciente a Anthropic. En cuesti\u00f3n de horas, la comunidad replic\u00f3 el c\u00f3digo en GitHub. El repositorio m\u00e1s destacado alcanz\u00f3 m\u00e1s de 41.500 bifurcaciones (forks). Anthropic respondi\u00f3 con notificaciones DMCA; GitHub desactiv\u00f3 m\u00e1s de 8.100 repositorios dentro de la red de bifurcaciones. El c\u00f3digo sigue estando disponible en plataformas descentralizadas.<\/p>\n La causa probable: Anthropic utiliza Bun como entorno de ejecuci\u00f3n de JavaScript. Un error conocido y abierto en Bun (reportado el 11 de marzo de 2026) documenta que el empacador (bundler) de Bun genera mapas de origen de forma predeterminada – incluso en modo producci\u00f3n, contrariamente a lo indicado en la documentaci\u00f3n – . Ni el archivo .npmignore ni el campo files en package.json exclu\u00edan expl\u00edcitamente los archivos .map.<\/p>\n No fue el primer incidente de este tipo: ya en 2025, las versiones v0.2.8 y v0.2.28 de Claude Code inclu\u00edan archivos de mapa de origen. Pocos d\u00edas antes de esta filtraci\u00f3n, adem\u00e1s, aparecieron aproximadamente 3.000 archivos internos de Anthropic en una cach\u00e9 p\u00fablicamente accesible.<\/p>\n Declaraci\u00f3n oficial de Anthropic: \u00abUn error de empaquetado en la fase de lanzamiento causado por fallo humano, no un incidente de seguridad\u00bb. La versi\u00f3n 2.1.88 fue retirada y se public\u00f3 la versi\u00f3n 2.1.89.<\/p>\n Los mapas de origen son archivos JSON que vinculan el c\u00f3digo JavaScript compilado o minificado con el c\u00f3digo fuente original. Su campo sourcesContent contiene el texto fuente completo y legible. Son una herramienta leg\u00edtima de depuraci\u00f3n – pero \u00fanicamente en entornos de desarrollo. En paquetes de producci\u00f3n, se convierten en un riesgo de seguridad.<\/p>\n Herramientas como reverse-sourcemap, Shuji o unwebpack-sourcemap reconstruyen, a partir de un \u00fanico archivo .map, toda la estructura de directorios junto con el c\u00f3digo fuente legible. No se requiere ingenier\u00eda inversa, ni descompiladores, ni conocimientos especializados. Basta con descomprimir el archivo.<\/p>\n En el caso de Claude Code se expusieron: todo el modelo de permisos de cuatro niveles, la l\u00f3gica de validaci\u00f3n de comandos Bash, los flujos de autenticaci\u00f3n OAuth 2.0, la arquitectura del servidor MCP (Model Context Protocol) y 44 feature flags<\/em> para funciones a\u00fan no publicadas. Entre ellas, un mecanismo anti-distilaci\u00f3n que inyecta definiciones falsas de herramientas en las solicitudes de API para envenenar a competidores que intentan capturar datos de entrenamiento. Y un \u00abmodo encubierto\u00bb que elimina todas las referencias a Anthropic cuando la herramienta opera en repositorios p\u00fablicos.<\/p>\n Sin datos de clientes. Sin claves API. Pero s\u00ed la propiedad intelectual completa de la arquitectura de agentes – resultado de miles de horas de desarrollo por parte de una empresa valorada en aproximadamente 380.000 millones de d\u00f3lares estadounidenses.<\/p>\n Este problema no se limita a Anthropic. Los mapas de origen en paquetes de producci\u00f3n constituyen un riesgo sectorial. Un estudio de Ostorlab concluy\u00f3 que aproximadamente el cinco por ciento de los activos web analizados eran vulnerables mediante debilidades basadas en mapas de origen. La diferencia radica en que la mayor\u00eda de las organizaciones afectadas desconocen que sus archivos .map est\u00e1n p\u00fablicamente accesibles.<\/p>\n \n \u00abLa iron\u00eda es incre\u00edble: Anthropic comercializa las capacidades de escritura de c\u00f3digo de Claude, pero su propio c\u00f3digo se filtr\u00f3 debido a un error b\u00e1sico de empaquetado.\u00bb La filtraci\u00f3n del mapa de origen se clasifica principalmente bajo dos categor\u00edas CWE:<\/p>\n CWE-215<\/strong> (Exposici\u00f3n de informaci\u00f3n mediante informaci\u00f3n de depuraci\u00f3n): artefactos de depuraci\u00f3n en entregas de producci\u00f3n exponen detalles internos de la implementaci\u00f3n.<\/p>\n CWE-538<\/strong> (Inserci\u00f3n de informaci\u00f3n sensible en un archivo o directorio accesible externamente): informaci\u00f3n sensible almacenada en un archivo accesible para actores externos.<\/p>\n Como complemento, tambi\u00e9n aplican CWE-540 (Inclusi\u00f3n de informaci\u00f3n sensible en el c\u00f3digo fuente), CWE-200 (Exposici\u00f3n de informaci\u00f3n sensible a un actor no autorizado) y OWASP A01:2021 (Control de acceso roto).<\/p>\n Antes de la filtraci\u00f3n del mapa de origen ya se hab\u00edan documentado seis CVE en Claude Code:<\/p>\n Adem\u00e1s, se incluyen CVE-2025-59828 (ejecuci\u00f3n de la configuraci\u00f3n de Yarn antes del di\u00e1logo de confianza), CVE-2025-64755 (el an\u00e1lisis con sed evitaba la validaci\u00f3n de solo lectura) y los vectores de ataque documentados por Check Point Research mediante configuraciones de proyecto manipuladas.<\/p>\n El patr\u00f3n es claro: las herramientas de desarrollo asistidas por IA, que leen archivos, ejecutan comandos y tienen acceso a la red, constituyen superficies de ataque completas – independientemente del fabricante. El c\u00f3digo fuente filtrado muestra, al menos, que Anthropic reconoce el problema: se introdujo una bandera CLAUDE_CODE_SUBPROCESS_ENV_SCRUB para evitar la herencia de variables de entorno (y, por tanto, potenciales claves API) a subprocesos. Sin embargo, el hecho de que dicha bandera se haya a\u00f1adido posteriormente confirma que la arquitectura de seguridad ha evolucionado de forma reactiva, no proactiva.<\/p>\n Independientemente de la filtraci\u00f3n de Claude Code, el 31 de marzo de 2026 un ataque contra la cadena de suministro afect\u00f3 al paquete NPM axios – con 83 millones de descargas semanales, uno de los paquetes JavaScript m\u00e1s utilizados del mundo – . Las versiones 1.14.1 y 0.30.4 inclu\u00edan, mediante una dependencia falsa denominada plain-crypto-js, un troyano de acceso remoto. El ataque estuvo activo entre las 00:21 y las 03:29 UTC, momento en que npm retir\u00f3 el paquete.<\/p>\n La coincidencia temporal es relevante: quien instal\u00f3 o actualiz\u00f3 Claude Code mediante npm install durante esa ventana temporal podr\u00eda haber instalado tambi\u00e9n, como dependencia transitiva, la versi\u00f3n comprometida de axios. Dos problemas independientes en la cadena de suministro, un ecosistema, un solo d\u00eda. El ataque contra axios fue confirmado de forma independiente por SANS, Sophos y BleepingComputer, y se atribuye al grupo UNC1069 (vinculado a Corea del Norte).<\/p>\n Este incidente se suma a una cronolog\u00eda que los equipos de seguridad inform\u00e1tica deben conocer: event-stream (2018), ua-parser-js (2021), colors.js (2022), el ataque contra Astro mediante Shai-Hulud (2024) y ahora axios (2026). El ecosistema NPM, con sus cadenas de dependencias profundamente anidadas, sigue siendo una de las superficies de ataque m\u00e1s cr\u00edticas en el desarrollo de software. Cada dependencia transitiva es un vector de ataque potencial – y la mayor\u00eda de los equipos ni siquiera conocen su \u00e1rbol completo de dependencias.<\/p>\n Cinco medidas concretas derivadas de este incidente:<\/p>\n 1. Auditor\u00eda de paquetes en busca de mapas de origen.<\/strong> Ejecutar npm pack –dry-run sobre todos los paquetes publicados internamente. Verificar si el artefacto contiene archivos .map, archivos .env u otros artefactos de depuraci\u00f3n. Esto lleva 30 segundos por paquete y habr\u00eda evitado la filtraci\u00f3n de Claude Code.<\/p>\n 2. Adoptar un enfoque de lista blanca en lugar de lista negra.<\/strong> Definir en package.json un campo files como lista blanca, en lugar de confiar en .npmignore (lista negra). Las listas negras olvidan nuevos tipos de archivos. Las listas blancas solo incluyen expl\u00edcitamente lo que se autoriza.<\/p>\n 3. Revisar la configuraci\u00f3n del empacador (bundler).<\/strong> Herramientas de construcci\u00f3n como Bun, esbuild y webpack generan mapas de origen de forma predeterminada. Desactivarlos expl\u00edcitamente para construcciones de producci\u00f3n: –sourcemap=none (Bun), –sourcemap=false (esbuild) o devtool: false (webpack).<\/p>\n 4. Incorporar una puerta de control (gate) en CI\/CD.<\/strong> Una verificaci\u00f3n automatizada en la canalizaci\u00f3n que interrumpa la construcci\u00f3n si se detectan archivos .map, .env u otros patrones de exclusi\u00f3n en el artefacto de publicaci\u00f3n. Comprobaci\u00f3n sencilla: find dist\/ -name \u00ab*.map\u00bb -exec false {} +.<\/p>\n 5. Utilizar Attestations de procedencia (Provenance Attestation).<\/strong> npm publish –provenance crea una acreditaci\u00f3n criptogr\u00e1ficamente firmada que vincula de forma reproducible la construcci\u00f3n a un commit espec\u00edfico y a un entorno de CI. Esto no habr\u00eda evitado el incidente, pero s\u00ed har\u00eda rastreable cualquier manipulaci\u00f3n.<\/p>\n 6. Tratar las herramientas de desarrollo con IA como superficies de ataque.<\/strong> Herramientas como Claude Code, GitHub Copilot y Cursor acceden al sistema de archivos, ejecutan comandos y comunican con APIs externas. Merecen el mismo nivel de auditor\u00eda de seguridad que cualquier otro software con acceso privilegiado. Las seis CVE documentadas en Claude Code demuestran: estas herramientas no son inmunes a vulnerabilidades que, en cualquier otra categor\u00eda de aplicaciones, ya ser\u00edan puntos de verificaci\u00f3n est\u00e1ndar.<\/p>\n No. Anthropic y an\u00e1lisis de seguridad independientes (Penligent) confirman: ning\u00fan dato de cliente, ninguna clave API, ninguna credencial. Se expuso \u00fanicamente el c\u00f3digo de la CLI de Claude Code – es decir, arquitectura, l\u00f3gica y feature flags<\/em>, no secretos operativos.<\/p>\n La filtraci\u00f3n de Claude Code fue un error de configuraci\u00f3n involuntario (CWE-215), no un ataque dirigido. El incidente de axios del mismo d\u00eda, en cambio, fue un ataque deliberado contra la cadena de suministro con c\u00f3digo malicioso insertado. Ambos ejemplifican distintas facetas del mismo problema: los paquetes NPM como vectores de ataque.<\/p>\n El riesgo directo derivado de la filtraci\u00f3n del mapa de origen es bajo – el c\u00f3digo expuesto no conten\u00eda secretos. M\u00e1s cr\u00edtico: quienes instalaron Claude Code entre las 00:21 y las 03:29 UTC del 31 de marzo podr\u00edan haber obtenido, como dependencia transitiva, la versi\u00f3n comprometida de axios. Se recomienda realizar un npm audit y verificar la versi\u00f3n de axios.<\/p>\n No. Ya en 2025, las versiones v0.2.8 y v0.2.28 de Claude Code inclu\u00edan archivos de mapa de origen. Pocos d\u00edas antes de esta filtraci\u00f3n, adem\u00e1s, aparecieron aproximadamente 3.000 archivos internos de Anthropic en una cach\u00e9 p\u00fablicamente accesible – entre ellos, detalles sobre un modelo de IA a\u00fan no publicado. Tres incidentes con la misma causa ra\u00edz (error en .npmignore) apuntan a un problema sist\u00e9mico en la canalizaci\u00f3n de lanzamiento.<\/p>\n Cuatro pasos: 1) npm pack –dry-run muestra todos los archivos que se incluir\u00edan en el paquete. 2) Configurar el campo files en package.json como lista blanca. 3) Desactivar los mapas de origen del empacador para producci\u00f3n. 4) Incorporar una puerta de control en CI que interrumpa la construcci\u00f3n si se detectan archivos .map en el artefacto.<\/p>\n Fuente de la imagen principal: Pexels \/ Towfiqu barbhuiya (px:11391947)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Una regla de exclusi\u00f3n ausente en la canalizaci\u00f3n de construcci\u00f3n expuso el 31 de marzo de 2026 todo el c\u00f3digo de producci\u00f3n de Claude Code de Anthropic. 512.000 l\u00edneas de TypeScript, empaquetadas en un archivo de mapa de origen de 59,8 MB dentro del paquete p\u00fablico de NPM. Ese mismo d\u00eda, […]","protected":false},"author":55,"featured_media":6449,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"mapas de origen","_yoast_wpseo_title":"Mapas de origen en el paquete NPM: c\u00f3mo Anthropic expuso 512.000 l\u00edneas de c\u00f3dig","_yoast_wpseo_metadesc":"Mapas de origen en el paquete NPM: c\u00f3mo evitar fugas de c\u00f3digo como la de Anthropic. Descubre c\u00f3mo proteger tu c\u00f3digo y act\u00faa ya.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-6451-2","post_id-6451","mapas-de-origen-en-el-paquete-npm-como-anthropic-expuso-512000-lineas-de-codigo-de-produccion","mapas-de-origen-en-el-paquete-npm-como-anthropic-expuso-512000-lineas-de-codigo-de-produccion-2"],"footnotes":""},"categories":[253],"tags":[],"class_list":["post-9847","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad"],"evm_reading_time_minutes":12,"wpml_language":"es","wpml_translation_of":6451,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/9847","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=9847"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/9847\/revisions"}],"predecessor-version":[{"id":13206,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/9847\/revisions\/13206"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/6449"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=9847"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=9847"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=9847"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Lo m\u00e1s importante en resumen<\/h2>\n
\n
El incidente<\/h2>\n
Los mapas de origen como vector de ataque subestimado<\/h2>\n
\n – Reacci\u00f3n de la comunidad en Hacker News, 31.03.2026<\/cite>\n<\/p><\/blockquote>\nClasificaci\u00f3n CWE y vulnerabilidades conocidas<\/h2>\n
Ese mismo d\u00eda: el ataque contra la cadena de suministro de axios<\/h2>\n
Qu\u00e9 deben revisar ahora los equipos de TI<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfSe expusieron datos de clientes o claves API?<\/h3>\n
\u00bfEn qu\u00e9 se diferencia este incidente de un ataque contra la cadena de suministro?<\/h3>\n
\u00bfQu\u00e9 riesgo supone esto para los usuarios de Claude Code?<\/h3>\n
\u00bfFue este el primer incidente de este tipo en Anthropic?<\/h3>\n
\u00bfC\u00f3mo puedo revisar mis propios paquetes NPM?<\/h3>\n
Lecturas recomendadas por la redacci\u00f3n<\/h2>\n
\n
M\u00e1s contenido de la red MBF Media<\/h2>\n
\n