IA ayudó a desbloquear wallet de Bitcoin con PIN olvidado

Un investigador de seguridad recuperó el acceso a una wallet de Bitcoin para Android luego de utilizar Claude, el modelo de inteligencia artificial desarrollado por Anthropic, para descifrar el PIN de ocho dígitos que lo protegía.

El caso fue documentado por Pavol Lupták, especialista en ciberseguridad, quien detalló el proceso en su cuenta de X.

Según Lupták, un usuario le pidió ayuda para recuperar el acceso a su wallet en la aplicación Bitcoin Wallet —disponible públicamente en GitHub—, donde tenía almacenada una cantidad significativa de BTC. El único dato disponible era que el PIN tenía ocho dígitos, lo que representa 100 millones de combinaciones posibles.

El investigador indicó que le pidió a Claude analizar el código fuente de la aplicación para entender cómo estaba cifrada la wallet. El modelo identificó el mecanismo de protección y estableció la secuencia de pasos que debía cumplir cada intento para verificar si un PIN era el correcto.

Con esa información, Claude escribió un programa que probaba combinaciones de forma automática. Lupták señala que, en su laptop, el sistema alcanzaba 80 intentos por segundo, lo que equivale a entre dos y tres semanas de trabajo manual para agotar todas las posibilidades.

Claude escala el ataque a infraestructura en la nube

Debido a las limitaciones del hardware, la IA propuso entonces repartir el trabajo entre varios servidores remotos. Tras recibir credenciales de acceso a Hetzner Cloud (servicio de desarrollo en la nube), Claude provisionó de forma autónoma cinco máquinas, las configuró, dividió las combinaciones entre los nodos y ejecutó un programa para reportar el avance en tiempo real.

Según el relato de Lupták, el PIN fue encontrado tras 14,5 horas de operación. El investigador sostiene que en ningún momento revisó el código generado por la IA para el algoritmo ni accedió directamente a los servidores: «solo esperé el resultado, que obtuve al primer intento». El tiempo total activo de Claude no superó media hora.

El caso se inscribe en una tendencia que la propia Anthropic ha documentado. En diciembre de 2025, según lo reportó CriptoNoticias, la compañía publicó un experimento en el que agentes de IA lograron explotar vulnerabilidades en contratos inteligentes reales en redes como Ethereum y BNB Chain. Las pérdidas simuladas fueron cercanas a los 550 millones de dólares.

En ese estudio, los modelos generaron ataques funcionales contra el 51,1% de los 405 contratos evaluados.

Lupták concluye que la capacidad de Claude para combinar análisis de código, programación y gestión de infraestructura reduce de semanas a horas el tiempo necesario para este tipo de operaciones.

El factor determinante, según el investigador, no fue una falla de la aplicación sino una limitación de origen: un PIN de ocho dígitos ofrece una protección insuficiente cuando el atacante cuenta con suficiente capacidad de cómputo.