Cómo los hackers convierten a los agentes de AI en armas contra los usuarios

Cada vez que la industria de la inteligencia artificial da un paso adelante, los ciberdelincuentes dan el suyo. Un nuevo material analítico publicado en Habr traza la evolución de los sistemas de IA desde los primeros modelos de lenguaje hasta agentes multimodales y muestra cómo en cada etapa de este camino surgieron amenazas de ciberseguridad fundamentalmente nuevas. La tesis principal de los autores es alarmante, pero predecible: cuanto más autonomía gana la IA, más peligrosas se vuelven sus vulnerabilidades.

La historia comenzó de forma relativamente inofensiva. Cuando los grandes modelos de lenguaje surgieron por primera vez, los principales problemas se consideraban alucinaciones y fugas de datos de los conjuntos de entrenamiento. Los usuarios temían que un chatbot revelara información personal ajena o generara código malicioso. Estos riesgos no han desaparecido, pero sobre su trasfondo ha crecido algo mucho más grave. Los sistemas de IA modernos dejaron de ser simples generadores de texto. Procesan imágenes y voz, interactúan con servicios externos, toman decisiones y ejecutan cadenas de acciones sin participación humana. Es precisamente esta autonomía la que los convirtió en un objetivo atractivo para una nueva generación de ciberataques.

Los investigadores proporcionan ejemplos concretos que dan mucho qué pensar. El agente Deep Research de OpenAI, diseñado para análisis profundo de información en internet, resultó vulnerable a ataques que permiten acceso inadvertido al correo electrónico de un usuario. El mecanismo de ataque explota la propia naturaleza del agente: puede seguir enlaces, procesar contenido de páginas web e interactuar con servicios. Para un atacante, basta preparar una página especialmente construida con instrucciones maliciosas disfrazadas en el contenido, y el agente, al procesarla, puede ejecutar acciones que benefician al atacante, no al usuario.

Una situación aún más preocupante se está desarrollando en torno a los navegadores con IA, es decir, sistemas capaces de navegar independientemente por internet, rellenar formularios y realizar transacciones. Los investigadores demuestran que tales sistemas son vulnerables a exploits que permiten acciones arbitrarias en páginas web en nombre del usuario. En la práctica, esto significa que un atacante puede obligar a un navegador con IA a seguir un enlace de phishing, introducir datos en un sitio web falso o incluso realizar un pago en una tienda en línea fraudulenta. El usuario podría no sospechar nada, ya que confió tareas rutinarias al agente precisamente para no monitorear cada paso.

La raíz del problema reside en la arquitectura de los transformadores y la forma en que los modelos modernos procesan datos de entrada. Los transformadores no distinguen entre fuentes de información confiables y no confiables. Para un modelo, una instrucción del usuario y texto en una página web maliciosa se procesan mediante el mismo mecanismo de atención. Esta característica hace posibles los llamados ataques de inyección de prompt, donde un atacante incrusta instrucciones maliciosas en el contenido que el agente procesa mientras ejecuta una tarea. El modelo percibe estas instrucciones como legítimas y las sigue, lo que efectivamente transfiere el control del agente al atacante.

Las consecuencias para la industria son difíciles de exagerar. Las empresas están desplegando masivamente agentes de IA en procesos comerciales, otorgándoles acceso al correo corporativo, sistemas CRM, herramientas financieras. Si un agente puede ser comprometido mediante el procesamiento de contenido externo, no solo están en riesgo usuarios individuales, sino organizaciones completas. Mientras tanto, las herramientas de seguridad tradicionales, como antivirus y cortafuegos, no están diseñadas para esta clase de ataques, porque la actividad maliciosa no proviene de software externo, sino de una herramienta de IA confiable que actúa dentro de sus facultades normales.

Los desarrolladores de sistemas de IA son, por supuesto, conscientes de estos riesgos. OpenAI, Google y Anthropic están invirtiendo en mecanismos de protección: filtrado de prompts, segregación de niveles de acceso, confirmación del usuario para acciones críticas. Sin embargo, la carrera entre las capacidades del agente y sus métodos de protección actualmente no está a favor de la seguridad. El mercado exige agentes cada vez más autónomos y capaces, y cada nueva capacidad es un vector de ataque potencial.

La industria ha llegado a un momento crítico. Antes de entregar las llaves de su vida digital a los agentes de IA, debe asegurarse de que las cerraduras sean confiables. Por ahora, esta confianza no existe ni entre investigadores ni entre desarrolladores, ni mucho menos entre usuarios, que en la búsqueda de conveniencia corren el riesgo de convertirse en víctimas de ataques cuya existencia ni siquiera sospechan.