ESET analizó el tratamiento de datos y las certificaciones de seguridad de Claude, el asistente de inteligencia artificial desarrollado por Anthropic. Según la compañía, Anthropic reportó en febrero de 2026 ingresos proyectados anualizados superiores a los 14.000 millones de dólares. ESET sostiene que el crecimiento de la empresa no implica seguridad garantizada y que entender el flujo de datos es el primer paso para usar la herramienta sin comprometer la información personal o corporativa.
Anthropic fue fundada en 2021 por antiguos empleados de OpenAI. Claude funciona como un chatbot capaz de responder preguntas, escribir textos, analizar documentos, programar y realizar tareas dentro de flujos de trabajo automatizados, según el plan y la versión. Puede accederse a través de la web, aplicaciones móviles o mediante conectores y la API. La empresa aplica un enfoque de entrenamiento denominado «IA Constitucional», basado en principios éticos definidos, y supervisa el uso de la herramienta a través del Índice Económico Antrópico.
La comunicación entre navegador o aplicación y los servidores de Anthropic está cifrada, y la empresa aplica controles de acceso basados en roles que restringen el acceso a los datos a equipos específicos.
Anthropic cuenta con tres certificaciones. La SOC 2 Tipo II implica que auditores externos examinaron sus controles de seguridad durante meses. La ISO 27001 es la norma internacional para la gestión de la seguridad de la información. La ISO 42001, más reciente y específica para sistemas de IA, evalúa cómo la empresa gestiona los riesgos relacionados con la inteligencia artificial. Para casos de uso sensibles, como datos de salud o cumplimiento normativo, Anthropic ofrece contratos que permiten negociar la retención de datos, el acceso y la ubicación de los servidores.
«Vale la pena aclarar que estas certificaciones aseguran de que la infraestructura, los controles de acceso y los procesos de seguridad de Anthropic estén en orden. No significan que Claude nunca cometa errores, ni que sus respuestas siempre sean precisas o seguras. Significan que la empresa sigue buenas prácticas para proteger los datos que envías, y que esta protección es auditada regularmente por terceros», comenta Mario Micucci, Investigador de Seguridad Informática de ESET.
Las conversaciones se almacenan en los servidores de Anthropic para permitir el acceso al historial en distintos dispositivos y mantener el contexto. Para los usuarios de las versiones Gratis, Pro y Max, Anthropic permite optar por que las conversaciones se utilicen para entrenar futuros modelos. Si se autoriza, los datos pueden conservarse hasta cinco años; si se rechaza, se eliminan automáticamente después de 30 días. Los datos de quienes usan la API o el modo Enterprise no se utilizan por defecto para entrenar modelos.
En América Latina existen marcos legales que regulan la recopilación, almacenamiento y procesamiento de datos personales, con niveles de exigencia variables entre países. «En la práctica, el uso de inteligencia artificial se considera una forma de tratamiento de datos personales en muchos de estos marcos normativos. Esto implica que, cuando se utiliza Claude para procesar datos de clientes, pacientes o cualquier información que permita identificar a una persona, pueden activarse obligaciones legales como contar con una base válida para el procesamiento, informar a los titulares y aplicar medidas adecuadas de protección de datos», agrega Micucci.
Entre las recomendaciones, ESET menciona activar la autenticación de dos pasos, usar contraseñas fuertes y únicas, y mantener el sistema operativo y el antivirus actualizados. La compañía señala que se han encontrado más de 225.000 accesos a herramientas de IA a la venta en la Dark Web, a menudo robados mediante malware. También sugiere revisar la configuración de privacidad de Claude para desactivar el historial de chat y el entrenamiento de modelos con los datos.
«Claude es una herramienta poderosa y relativamente segura, pero ninguna IA es una caja fuerte. Usar bien significa saber cuándo usar, cuándo no. Antes de compartir algo con una IA, es importante preguntarse si es información que nos gustaría que se haga pública. Por ejemplo, los secretos comerciales, los datos de los clientes, las credenciales de acceso y la información sensible nunca deberían ir a ninguna herramienta de IA», concluye Micucci.
📬 Newsletter gratuito









