Colombia, diciembre de 2025 – La adopción de la inteligencia artificial (IA) generativa se acelera. Las empresas están implementando chatbots avanzados para gestionar desde el servicio al cliente 24/7 y la personalización de ventas hasta la automatización de tareas. En ese contexto, Trend Micro Incorporated (TYO: 4704; TSE: 4704), líder mundial en ciberseguridad, advierte que, si bien esta transformación redefine la interacción con el usuario y promete una eficiencia sin precedentes, también introduce una sofisticada y nueva superficie de ataque que los ciberdelincuentes ya están explotando activamente.
"Una aplicación de IA comprometida puede pasar de ser un asistente de servicio al cliente a una puerta trasera crítica, a través de la cual se puede acceder a los datos e infraestructuras más sensibles de una organización. Los grandes avances tecnológicos siempre vienen con nuevos riesgos cibernéticos", advierte Samuel Toro, Head of Sales para la región norte de Latinoamérica en Trend Micro.
Anatomía de un ciberataque a la IA
Un ciberataque de este tipo no es un ataque directo, sino más bien una serie de pasos encadenados. El proceso inicia con una fase de sondeo, donde los atacantes actúan como clientes curiosos. Prueban los límites del sistema buscando respuestas inconsistentes o mensajes de error que, por accidente, filtren información técnica.
Si un error revela que la inteligencia artificial analiza datos de fuentes externas, como foros de reseñas, los atacantes tienen un vector. Pueden emplear una "inyección indirecta de prompts", publicando un comentario aparentemente inofensivo que oculta un comando malicioso. Al procesar esta fuente no confiable, el sistema obedece la instrucción.
El resultado de esta inyección puede ser la filtración de las instrucciones operativas del propio asistente, revelando herramientas internas. A menudo, a estos sistemas se les otorgan permisos excesivos. Los atacantes pueden entonces instruir al asistente para que use una conexión interna y consulte la base de datos de clientes, extrayendo datos sensibles.
La brecha se extiende más allá de la IA. Los ciberdelincuentes usan el asistente comprometido como un intermediario para sondear la conexión interna en busca de vulnerabilidades tradicionales. Un fallo de "inyección de comandos" puede permitirles ejecutar código en el servidor, simplemente enviando un prompt malicioso a la herramienta.
Con un punto de apoyo en la infraestructura, el objetivo final es claro: localizar archivos de configuración. Estos suelen contener accesos críticos, como las credenciales para las bases de datos y el almacenamiento en la nube. Esto permite la extracción masiva de datos y el robo de los valiosos modelos de IA personalizados.
Una defensa resiliente es la clave
"Lo que este escenario demuestra es que no existe una solución única para la seguridad de la IA. No se trata de un solo producto, sino de construir una defensa resiliente en múltiples capas, basada en una gestión integral del ciberriesgo y un modelo de 'confianza cero', donde nada se da por sentado", puntualiza Toro.
Esta defensa en capas debe, por tanto, comenzar temprano, en el ciclo de desarrollo, escaneando proactivamente los modelos en busca de vulnerabilidades. Una vez en producción, debe continuar con barreras en tiempo real que inspeccionen entradas y salidas, y complementarse con una protección robusta de la infraestructura subyacente para contener cualquier amenaza.
