### Falso Skill de IA Expone Fallos Graves en Marketplaces de Agentes y Herramientas de Auditoría

#### Introducción

En un reciente experimento de seguridad, la firma AIR ha puesto de manifiesto serias deficiencias en la protección de los marketplaces de agentes de inteligencia artificial (IA) y en la eficacia de los sistemas automatizados de análisis de seguridad para skills (habilidades o extensiones). La simulación, que logró distribuir un skill malicioso simulado a cerca de 26.000 agentes —incluidos algunos vinculados a cuentas corporativas—, pone en jaque la confianza en los actuales mecanismos de validación y control de plataformas emergentes de IA.

#### Contexto del Incidente

El auge de los agentes de IA y su integración en ecosistemas empresariales ha propiciado el desarrollo de marketplaces donde terceros pueden publicar y distribuir skills. Sin embargo, el incremento de estas aplicaciones genera nuevos vectores de ataque que, como demuestra el ejercicio de AIR, no están siendo debidamente gestionados. El experimento consistió en crear un skill aparentemente inofensivo e introducirlo en un marketplace popular, promocionándolo además mediante anuncios en Instagram para maximizar su alcance y medir la capacidad de respuesta de los sistemas de seguridad.

#### Detalles Técnicos

El skill simulado por AIR fue diseñado para ser aparentemente legítimo, pero en realidad ejecutaba una acción de recopilación de datos: obtenía la dirección de correo electrónico del usuario, sin realizar ninguna otra operación maliciosa. El payload, aunque intencionadamente inocuo, reproduce un patrón típico de las primeras fases de ataques de spear phishing o ingeniería social.

AIR sometió el skill a múltiples escáneres de seguridad especializados para skills de IA, y todos lo clasificaron como seguro, evidenciando la falta de rigor en las heurísticas y firmas de detección. No se detectó ningún uso de exploits conocidos ni se asociaron CVEs concretos a la acción, pero la metodología encaja con las TTP (Tactics, Techniques and Procedures) catalogadas por MITRE ATT&CK, en particular el vector “Collection: Email Collection” (T1114).

A nivel de IoC (Indicators of Compromise), el único rastro fue la exfiltración de direcciones de correo electrónico al dominio controlado por AIR. La ausencia de detección automatizada sugiere que los sistemas actuales no consideran suficiente la recopilación de emails como indicador malicioso, especialmente si se realiza dentro de los flujos de interacción permitidos por el agente.

#### Impacto y Riesgos

El experimento alcanzó aproximadamente a 26.000 agentes, incluyendo instancias asociadas a cuentas corporativas. Esto evidencia un riesgo masivo de exposición de información sensible, especialmente si un atacante decidiera emplear técnicas más avanzadas —como la escalada de privilegios, el movimiento lateral o la persistencia— tras la fase inicial de reconocimiento.

La capacidad de eludir los escáneres de seguridad implica que un atacante podría distribuir payloads más dañinos (ransomware, troyanos, etc.) sin ser detectado durante el proceso de onboarding en los marketplaces. En entornos empresariales, una brecha de este tipo puede facilitar campañas de spear phishing selectivas, robo de credenciales o incluso comprometer datos sujetos a regulación (GDPR, NIS2), con el consiguiente impacto económico y reputacional.

#### Medidas de Mitigación y Recomendaciones

AIR recomienda una revisión urgente de los mecanismos de validación y sandboxing en los marketplaces de skills de IA. Entre las mejores prácticas destacan:

– Aplicar análisis estático y dinámico más exhaustivo, incluyendo control de flujos de datos y detección de patrones de exfiltración.
– Introducir controles de permisos granulares y revisiones manuales para skills con acceso a información sensible.
– Implementar mecanismos de reputación y verificación de desarrolladores, especialmente para skills promovidos vía canales publicitarios externos.
– Fomentar la monitorización activa de indicadores de compromiso asociados a skills, como conexiones salientes no autorizadas o patrones inusuales de acceso a datos personales.

#### Opinión de Expertos

Diversos analistas de ciberseguridad subrayan que este incidente pone en evidencia una brecha en la madurez de las plataformas de IA y sus ecosistemas. Según Pedro García, consultor de seguridad en entornos cloud, “la falta de controles estrictos en los marketplaces abre la puerta a ataques dirigidos mediante técnicas de ingeniería social combinadas con el potencial de automatización de los agentes de IA”.

Por su parte, expertos en cumplimiento normativo advierten que la recopilación no autorizada de datos personales, aunque sea de forma experimental, puede suponer una infracción del GDPR, especialmente si afecta a residentes en la UE y no cuenta con el consentimiento explícito.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar los skills de IA como un vector de riesgo emergente, especialmente en contextos donde los agentes gestionan información sensible o procesos críticos. La integración de skills de terceros debe abordarse con políticas de Zero Trust, auditorías periódicas y segmentación de privilegios.

Para los usuarios corporativos, el incidente subraya la importancia de la formación en ciberseguridad y la necesidad de revisar los permisos concedidos a nuevas funcionalidades de IA, evitando la instalación de skills no verificados o promovidos por canales publicitarios no oficiales.

#### Conclusiones

El experimento de AIR revela una preocupante falta de robustez en los mecanismos de validación y monitorización de los marketplaces de skills de IA, así como en las herramientas de análisis automatizado. La rápida adopción de tecnologías de IA en entornos corporativos exige una actualización urgente de los controles de seguridad, alineando las defensas con los estándares regulatorios y las amenazas actuales del panorama digital.

(Fuente: feeds.feedburner.com)