Claude Code obtuvo los permisos para administrar AWS, tras lo cual la IA eliminó por completo dos sitios web y sus bases de datos

Resumen breve de la noticia

Alexey Grigoryev es un desarrollador que trasladó su sitio web a Amazon Web Services (AWS). Utilizó Terraform para gestionar la infraestructura y confió en el agente Claude Code de Anthropic. El error del agente no fue la causa del incidente: se debió al factor humano.

Qué ocurrió
1. Alexey decidió combinar dos recursos (el sitio y otro servicio) en una sola infraestructura cloud, reduciendo configuraciones pero aumentando el riesgo de errores.
2. Eligió Terraform para automatizar: creación/eliminación de servidores, redes, balanceadores de carga y bases de datos. El plan de Terraform incluía todos los recursos necesarios.
3. Alexey pidió a Claude Code que aplicara el plan, pero no cargó el archivo de estado (state) que describe la configuración actual. La IA ejecutó parte del comando – creó un contenedor para el sitio – pero el usuario detuvo el proceso a mitad de camino.
4. Debido a la falta de state, los recursos comenzaron a duplicarse. Alexey decidió eliminar los duplicados y luego cargó el archivo de estado, suponiendo que el agente continuaría eliminando objetos innecesarios y abriría el estado para una configuración correcta.
5. Claude Code ejecutó `terraform destroy` según el archivo state. En él se indicaba una base de datos ya existente en AWS. Los dos sitios y sus datos (2,5 años de registros + snapshots) fueron borrados.

Consecuencias
- Pérdida total de la base de datos con 2,5 años de historial.
- Necesidad de contactar al soporte de Amazon para recuperar los datos.

En un día el soporte de AWS restauró todos los objetos necesarios.

Qué hizo Alexey después del incidente
1. Verificación periódica – configuró una monitorización regular del estado de la base de datos.
2. Protección contra borrados – activó mecanismos de protección en Terraform y en las configuraciones de AWS.
3. Almacenamiento del archivo state – lo movió a un depósito seguro S3 en lugar de al disco local.
4. Gestión autónoma de borrado – ahora todas las operaciones de destrucción de recursos las realiza el propio desarrollador, no el agente IA.

Resultado
El incidente fue causado por errores humanos (no cargar el archivo de estado y malentendidos con la gestión de recursos duplicados), no por fallos de Claude Code. Alexey tomó medidas para minimizar riesgos futuros y abandonó la dependencia total del IA al trabajar con Terraform.