Volver al Blog
Ciberseguridad 22 de junio de 2026 5 min read

'Agentjacking': Un Reporte de Error Falso en Sentry Puede Secuestrar tu Agente de Código IA

Investigadores de seguridad de Tenet Security revelaron una nueva clase de ataque que compromete agentes de codificación IA mediante reportes de error manipulados en Sentry, con una tasa de éxito del 85%. Al menos 2.388 organizaciones están actualmente expuestas.

'Agentjacking': Un Reporte de Error Falso en Sentry Puede Secuestrar tu Agente de Código IA

Los investigadores de seguridad de Tenet Security han divulgado “Agentjacking” — una nueva clase de ataque que compromete agentes de codificación IA como Claude Code, Cursor y OpenAI Codex mediante reportes de error manipulados en Sentry. Probado en entornos reales, el ataque logra una tasa de éxito del 85%. Al menos 2.388 organizaciones con DSN de Sentry expuestos públicamente son actualmente vulnerables.

Cómo funciona

Sentry permite que cualquier persona con un Data Source Name (DSN) público envíe eventos de error manipulados a un proyecto. Los atacantes incrustan comandos dentro de esos eventos. Cuando un agente de codificación IA recupera el error para diagnosticar un fallo, interpreta las instrucciones inyectadas como contexto legítimo y las ejecuta directamente en la máquina del desarrollador.

El exploit es una inyección de prompt clásica, pero el canal de entrega es novedoso. Los desarrolladores configuran sus agentes para extraer errores de Sentry como parte del flujo de trabajo normal de depuración. El agente no tiene forma de distinguir un reporte de crash real de uno manipulado.

Qué pueden robar los atacantes

El ataque puede filtrar variables de entorno, credenciales de Git, claves SSH y URLs de repositorios privados. También puede ejecutar comandos de shell arbitrarios con los permisos propios del desarrollador. Las defensas estándar — EDR, WAF, controles de IAM, VPN — fueron todas evadidas en las pruebas de Tenet Security, porque el agente solo realiza acciones que considera autorizadas. Ningún umbral de anomalía se activa.

La respuesta de Sentry

Sentry fue notificada el 3 de junio de 2026. La empresa reconoció el reporte y describió el problema como “técnicamente indefensible” a nivel de plataforma, declinando implementar una solución estructural. Introdujo un filtro de contenido para la cadena de payload específica usada en la prueba de concepto.

Ese filtro detiene exactamente un payload. Cualquier atacante puede modificar la cadena y evadirlo en segundos.

Quiénes están afectados

Cualquier versión de Claude Code, Cursor u OpenAI Codex que integre el servidor MCP de Sentry o procese datos de Sentry de forma inline es vulnerable. El ataque también aplica a cualquier agente de IA conectado a otras fuentes de datos externas — plataformas de logs, gestores de incidencias, comentarios en pull requests — que el agente lea sin sanitización.

Qué hacer ahora

Rota tu DSN de Sentry de inmediato si aparece en algún bundle de JavaScript público — las devtools del navegador lo mostrarán en las solicitudes de red. Revisa tus artefactos de build del frontend.

Configura tu agente de codificación IA para tratar los datos de seguimiento de errores como entrada no confiable, nunca como fuente de instrucciones. Revisa qué servidores MCP tienen permiso de llamar herramientas en tu agente. Si usas Claude Code con la integración de Sentry MCP, desactívala hasta que se publique un parche estructural.

La lección más amplia: los agentes de IA que leen datos externos sin un límite claro de confianza son la próxima superficie de ataque. Cada plataforma que tu agente puede consultar es un vector de inyección potencial. Los desarrolladores que integran agentes en flujos de producción necesitan auditar esa superficie ahora, no después de un incidente.

Fuentes

security AI agents Claude Code MCP vulnerability