Las amenazas silenciosas de la inteligencia artificial

Por: Alejandro Vergara, Integrador de Inteligencia Artificial de IQSEC

Durante la última década, la estrategia de ciberseguridad global se ha centrado en una lógica de levantar muros que protejan infraestructuras, redes y aplicaciones para evitar intrusiones o ataques cada vez más sofisticados. Sin embargo, la adopción acelerada de la Inteligencia Artificial generativa ha abierto un nuevo frente de batalla, menos visible y, paradójicamente, más difícil de controlar. 

Hoy enfrentamos una paradoja inquietante en la que el riesgo no es solo la vulneración del sistema, sino la posibilidad de que este sea convencido de actuar contra su propio propósito. Ya no se trata de fallos técnicos tradicionales, sino de debilidades inherentes al diseño de los modelos: para la IA, una instrucción legítima y un ataque son, en esencia, solo lenguaje o un input más.

El reto de fondo

El desafío estructural radica en que los modelos actuales procesan todo —datos, instrucciones y restricciones— dentro de una misma ventana de contexto, sin una separación nativa. Esta arquitectura permite dos vectores de ataque críticos:

1. Inyección de Prompts. Aquí, la amenaza es inmediata y operativa. Un atacante puede camuflar instrucciones dentro del contenido que el modelo recibe, ya sea dentro de documentos PDF, correos o resultados de búsqueda que, al ser procesados, reescriben las reglas originales del modelo. Lo alarmante es su sutileza: los ataques más efectivos imitan el lenguaje natural y las buenas prácticas, volviéndose indistinguibles para los controles de seguridad convencionales.

El riesgo se amplifica cuando la IA deja de ser un simple generador de texto y se convierte en un agente autónomo: sistemas que leen información, toman decisiones y ejecutan acciones. En esos entornos, una inyección exitosa no solo produce una respuesta incorrecta, sino que puede desencadenar envíos de correos no autorizados, extracción de datos sensibles o activación de flujos automatizados sin conocimiento humano.

Desde la óptica de los controles tradicionales de seguridad, no existe un patrón claramente “malicioso” que pueda bloquearse de forma automática.

Te podría interesar: Nvidia dispara ganancias 210% por auge de la IA y supera los 81,000 mdd en ingresos

Esta sutileza explica por qué el riesgo sigue siendo significativo, aunque los estudios del desafío LLMail-Inject muestran que solo una fracción mínima de los intentos logra comprometer completamente un sistema. En dicho análisis se evaluaron más de 460 mil intentos de ataque, de los cuales menos del 1% consiguió evadir las defensas e inducir un comportamiento no autorizado. Sin embargo, en términos de ciberseguridad, un solo ataque exitoso es suficiente para generar una brecha, exponer información sensible o desencadenar acciones no previstas.

Las defensas actuales, aunque necesarias, siguen siendo incompletas. Clasificadores de texto, análisis de intención, validaciones contextuales o incluso modelos que supervisan a otros modelos aportan capas de protección, pero ninguna resuelve el problema de raíz. La seguridad efectiva en IA no proviene de un control aislado, sino de una arquitectura que asume la manipulación como un escenario inevitable.

2. Envenenamiento de Datos, una amenaza latente diseñada para el largo plazo. A diferencia de la inyección, aquí no se busca una acción puntual, sino alterar el comportamiento futuro del modelo introduciendo información sesgada o falsa en distintas fases del ciclo de vida de un modelo: durante el entrenamiento inicial con datos públicos, en procesos de ajuste fino que incorporan información interna o incluso después del despliegue, cuando los sistemas aprenden de manera continua a partir de nuevas interacciones. 

Un estudio reciente de Anthropic, en colaboración con el UK AI Security Institute y el Alan Turing Institute, demostró la fragilidad de estos sistemas. Bastan aproximadamente 250 documentos manipulados para comprometer la integridad de un modelo, independientemente de su tamaño o complejidad. Estas son “puertas traseras lógicas” que permanecen invisibles hasta que se activan bajo condiciones específicas y cuya remediación es extremadamente costosa.

El hallazgo desmantela una de las suposiciones más extendidas en la industria: que los modelos más grandes son intrínsecamente más seguros. En realidad, la escala no ofrece inmunidad frente a ataques diseñados para explotar el proceso de aprendizaje.

Te podría interesar: OpenAI acelera su salida a bolsa: presentará sus primeros documentos este viernes

Ambas amenazas comparten una raíz estructural: la manera en que los modelos actuales procesan la información. Todo se traduce en tokens dentro de una misma ventana de contexto, sin una separación nativa entre instrucciones, datos, restricciones y objetivos. Esta arquitectura habilita una flexibilidad extraordinaria, pero también introduce un grado de maleabilidad que, en ausencia de controles adicionales, se convierte en una superficie de ataque crítica.

Cuando la IA se integra a procesos críticos de las organizaciones

Para las organizaciones que integran IA en sus procesos críticos, el riesgo deja de ser teórico y se vuelve operativo, especialmente cuando la tecnología pasa de ser generadora de texto a un agente autónomo que toma decisiones. Aterricemos estas amenazas en dos escenarios claros basados en el contexto actual:

Escenario A: Compromiso en operaciones automatizadas (Fintech y Servicios)

• Riesgo: En sectores como el fintech o servicios públicos, donde se busca escalar operaciones, un sistema de IA encargado de procesar correos o solicitudes podría recibir una instrucción oculta (inyección) para ejecutar acciones no autorizadas, como envíos de información sensible o transferencias, sin intervención humana.

• Mitigación: La automatización no debe implicar ausencia de supervisión. Es imperativo implementar la separación de privilegios: el modelo que “lee” no debe tener permisos absolutos para “ejecutar”. Asimismo, se requiere una validación semántica de entradas y un monitoreo continuo de las salidas para detectar anomalías en la intención del comando.

Escenario B: Corrupción de la toma de decisiones (Salud y Comercio Digital)

• El Riesgo: Las PYMES y empresas de salud que entrenan modelos con datos propios o públicos pueden ser víctimas de envenenamiento. Si los datos de entrenamiento contienen sesgos inyectados, el modelo podría aprobar transacciones fraudulentas o diagnósticos erróneos sistemáticamente, al detectar ciertos patrones “disparadores”, manteniendo una apariencia de normalidad en el resto de operaciones.

• Mitigación: La confianza ciega es el mayor error. La estrategia debe centrarse en la trazabilidad de datos y auditoría rigurosa de los datasets antes y durante el entrenamiento. Dado que remediar un modelo envenenado exige reentrenarlo, la prevención mediante la curaduría de datos es la única defensa escalable. 

Renunciar a la inteligencia artificial no es una opción viable, pero adoptarla sin una gobernanza robusta es una transferencia de riesgo inaceptable. La seguridad en la era de la IA exige evolucionar de los controles técnicos aislados hacia una arquitectura que asuma la manipulación como un escenario inevitable. La protección real actual dependerá de la participación activa de la alta dirección y de entender que muchas brechas futuras no nacerán de un fallo de software, sino de una decisión operativa tomada, sin comprender plenamente sus implicaciones.

Lo último:

• Todo tipo de empresas y de todo tamaño te pueden reportar al Buró
• Las amenazas silenciosas de la inteligencia artificial
• Moody’s recorta la calificación crediticia de México y la lleva a un nivel del grado especulativo
• Nvidia dispara ganancias 210% por auge de la IA y supera los 81,000 mdd en ingresos
• General Motors moverá producción de Asia a México y ensamblará 80,000 vehículos al año hacia 2030

IQSEC Más de 15 años de experiencia brindando soluciones integrales e innovadoras de ciberseguridad e identidad digital.