La inyección de prompts permite eludir la seguridad de la IA

Un nuevo vector de ataque facilita el secuestro de agentes autónomos mediante instrucciones ocultas

Foto: cortesía. Portal ERP España.

El despliegue de la Inteligencia Artificial en las organizaciones ha introducido un riesgo de seguridad que permite a los atacantes eludir las barreras éticas de los modelos de lenguaje. Según un análisis de la firma Proofpoint, el auge de la IA agéntica —donde los agentes autónomos ejecutan tareas de forma independiente— ha facilitado la aparición de la inyección de prompts. Este método consiste en introducir comandos diseñados para que el modelo omita sus propias reglas de seguridad, permitiendo la creación de contenido malicioso o la exfiltración de información sensible.

A diferencia de los ataques tradicionales, esta técnica no requiere de códigos de programación complejos, ya que se basa en el lenguaje natural. Los investigadores de amenazas de la compañía explican que los modelos de IA poseen directrices incorporadas para evitar, por ejemplo, la creación de correos electrónicos con intención maliciosa. No obstante, advierten de que estos ataques pueden sortear dichas barreras al introducir directamente un comando para que un modelo “omita sus propias reglas de seguridad”.

Dentro de esta tendencia, la variante más sigilosa es la inyección de prompts indirecta. Este ataque se produce cuando el ciberdelincuente oculta instrucciones maliciosas en fuentes de datos externas, como el cuerpo de un mensaje o un documento adjunto, utilizando técnicas como el texto blanco sobre fondo blanco o la inserción en metadatos. La eficacia de este vector reside en que el usuario no necesita interactuar con el archivo para que el ataque tenga éxito.

Te puede interesar: La identidad digital: el frente donde se decide la seguridad ante la IA

El proceso se activa de forma autónoma cuando el asistente de IA escanea el buzón de correo para recuperar contexto. Al procesar el mensaje, la tecnología ingiere el comando oculto y, dado que no distingue entre los datos que debe leer y las instrucciones que debe seguir, ejecuta la orden inmediatamente. Según los expertos de la firma, esta amenaza es crítica en la IA agéntica, ya que los agentes “pueden realizar tareas por nosotros y ser secuestrados mediante un simple prompt de correo electrónico oculto”.

Esta nueva frontera de la ciberseguridad desplaza la primera línea de ataque desde los firewalls convencionales hacia los flujos de entrenamiento de la IA. La vulnerabilidad reside ahora en la integridad de los conjuntos de datos, lo que obliga a los responsables de seguridad a supervisar la calidad de la información. Los especialistas señalan que este vector de ataque está en aumento y resulta accesible al estar escrito en lenguaje natural, lo que supone que ya no es necesario el uso de “exploits tradicionales”.

Para hacer frente a esta vulnerabilidad, la industria propone una estrategia basada en la detección de patrones anómalos y la comprensión del contexto. La defensa ya no puede limitarse a identificar cargas maliciosas conocidas, sino que debe aplicar múltiples capas de investigación para prevenir la manipulación del aprendizaje de los modelos de lenguaje y la alteración de sus resultados futuros.