### Vulnerabilidad crítica en ServiceNow Now Assist: configuración por defecto permite ataques de prompt injection y exfiltración de datos

#### Introducción

La seguridad en plataformas de inteligencia artificial generativa se ha convertido en un elemento crucial dentro de las estrategias de ciberdefensa empresarial. Recientemente, se ha descubierto una vulnerabilidad significativa en el módulo Now Assist de ServiceNow, que aprovecha configuraciones por defecto para facilitar ataques de prompt injection de segunda orden. Este hallazgo, reportado por la firma de seguridad AppOmni, pone en entredicho la robustez de los sistemas AI colaborativos y exige una revisión profunda de las configuraciones y controles implementados por los responsables de ciberseguridad.

#### Contexto del Incidente o Vulnerabilidad

ServiceNow Now Assist es una plataforma de inteligencia artificial generativa diseñada para automatizar tareas, responder consultas y mejorar la experiencia del usuario en entornos corporativos. Su arquitectura soporta capacidades “agénticas”, es decir, la colaboración entre diferentes agentes autónomos para resolver tareas de forma cooperativa. No obstante, AppOmni ha identificado que la configuración por defecto habilita flujos de comunicación entre agentes sin las debidas restricciones, abriendo la puerta a escenarios de explotación.

El incidente se encuadra en la tendencia creciente de ataques sobre modelos de lenguaje natural (LLMs) y sistemas AI, donde la manipulación del input (prompt injection) permite a los actores maliciosos forzar comportamientos no autorizados o alterar los resultados esperados del modelo.

#### Detalles Técnicos

El vector de ataque principal es el denominado “prompt injection de segunda orden”, que se produce cuando un atacante introduce instrucciones maliciosas en una interacción inicial, que posteriormente son ejecutadas o amplificadas por otro agente AI en el flujo de trabajo. En el caso de Now Assist, la funcionalidad de “agent-to-agent discovery” permite que los agentes colaboren y compartan contexto, lo que puede ser manipulado para ejecutar acciones no autorizadas.

La vulnerabilidad afecta a las versiones de Now Assist desplegadas con la configuración por defecto, especialmente en entornos donde no se han implementado políticas de filtrado y validación de entradas entre agentes. Aunque no se ha asignado aún un identificador CVE al fallo, AppOmni ha publicado indicadores de compromiso (IoC) asociados a intentos de explotación, como logs con cadenas inusuales en los prompts y solicitudes de API realizadas fuera del flujo de negocio habitual.

En cuanto a técnicas y tácticas, el ataque se alinea con la matriz MITRE ATT&CK en los apartados T1566 (Spearphishing via Service), T1204 (User Execution) y T1059 (Command and Scripting Interpreter), ya que la explotación aprovecha el procesamiento de texto libre y la ejecución autónoma de acciones por parte de agentes AI. No se descarta el uso de marcos de pruebas como Metasploit para la automatización de pruebas de concepto, aunque los exploits conocidos se centran en la manipulación de prompts y no requieren cargas binarias adicionales.

#### Impacto y Riesgos

El impacto potencial de esta vulnerabilidad es elevado, dado que permite a un actor malicioso copiar y exfiltrar información sensible alojada en la instancia de ServiceNow, incluyendo datos personales, registros de tickets y documentos internos. Dada la naturaleza crítica de los sistemas ITSM y la integración frecuente con otros servicios empresariales, el riesgo de escalada lateral y persistencia es considerable.

AppOmni estima que cerca del 40% de las instancias empresariales con Now Assist activado podrían estar expuestas si mantienen la configuración por defecto. Los riesgos incluyen filtración de datos protegidos bajo el Reglamento General de Protección de Datos (GDPR), impacto reputacional y posibles multas regulatorias. En términos económicos, el coste promedio de una brecha similar se sitúa en torno a 4,45 millones de dólares, según el informe Cost of a Data Breach 2023 de IBM.

#### Medidas de Mitigación y Recomendaciones

Para mitigar esta vulnerabilidad, se recomienda a los administradores de sistemas y responsables de seguridad:

– Revisar y personalizar la configuración por defecto de Now Assist, restringiendo la colaboración entre agentes solo a los casos necesarios.
– Implementar filtros y validadores estrictos en los prompts intercambiados entre agentes AI.
– Monitorizar los logs de actividad y configurar alertas ante patrones de prompt injection o solicitudes anómalas.
– Desplegar controles de acceso basados en roles (RBAC) para limitar la capacidad de los agentes AI de ejecutar acciones críticas.
– Realizar revisiones periódicas de las políticas de seguridad y habilitar auditorías externas sobre la configuración de los módulos AI.
– Estar atentos a la publicación de un CVE oficial y aplicar parches o hotfixes facilitados por ServiceNow.

#### Opinión de Expertos

Expertos como Daniel Miessler, consultor de ciberseguridad y autor de “Unsupervised Learning”, subrayan la dificultad de proteger sistemas AI colaborativos frente a ataques de prompt injection: “Los LLMs y sus agentes asociados son especialmente vulnerables porque procesan texto libre y, a menudo, carecen de contextos robustos de autenticación o validación.” Por su parte, AppOmni recalca la importancia de no confiar en la seguridad out-of-the-box de soluciones AI y recomienda controles proactivos.

#### Implicaciones para Empresas y Usuarios

Las organizaciones que utilizan ServiceNow Now Assist deben considerar este incidente como una advertencia sobre los riesgos inherentes a la automatización basada en inteligencia artificial. Las áreas de compliance deberán evaluar el impacto potencial sobre la privacidad y la protección de datos, especialmente en sectores regulados bajo NIS2, GDPR o equivalentes nacionales. Los equipos de SOC y Red Team deberían incluir pruebas de prompt injection y simulación de ataques sobre agentes AI en sus ejercicios habituales.

#### Conclusiones

La emergencia de ataques avanzados sobre plataformas de inteligencia artificial como ServiceNow Now Assist demuestra que la seguridad de la configuración y el control de los flujos de trabajo entre agentes AI son aspectos críticos en la defensa empresarial. Es imprescindible adoptar un enfoque zero trust, revisar las configuraciones por defecto y anticipar las nuevas tácticas de los actores de amenazas en el ámbito de la inteligencia artificial generativa.

(Fuente: feeds.feedburner.com)