**Las vulnerabilidades en la infraestructura de IA superan al riesgo de la prompt injection, según expertos de Wiz**
—
### 1. Introducción
En los últimos años, el auge de la inteligencia artificial (IA) y sus aplicaciones en entornos empresariales ha impulsado una oleada de investigaciones centradas en la seguridad de estos sistemas. Sin embargo, la preocupación por las técnicas de manipulación de modelos, como el prompt injection, puede estar eclipsando amenazas más críticas. Dos investigadores de Wiz, tras dos años analizando la seguridad en infraestructuras de IA, advierten que los profesionales de ciberseguridad deberían priorizar la identificación y mitigación de vulnerabilidades en la propia infraestructura sobre la ansiedad por ataques de prompt injection.
—
### 2. Contexto del Incidente o Vulnerabilidad
La atención mediática y profesional durante el último año se ha centrado en el prompt injection: la manipulación de entradas de texto para inducir salidas maliciosas o no deseadas en modelos de lenguaje como GPT-4 o Llama 2. Este tipo de ataque, aunque relevante, ha monopolizado la conversación, relegando a un segundo plano vulnerabilidades más profundas y sistémicas en las plataformas que albergan y ejecutan IA.
Los investigadores de Wiz, Yisroel Mirsky y Ami Luttwak, han realizado auditorías exhaustivas en entornos cloud y on-premises empleando IA generativa y modelos de machine learning. Su conclusión es clara: las brechas explotables en la infraestructura subyacente —incluyendo APIs, almacenamiento, autenticación y controles de acceso— representan un riesgo mucho mayor y más real para la confidencialidad, integridad y disponibilidad de los sistemas empresariales de IA.
—
### 3. Detalles Técnicos
#### CVEs y Vectores de Ataque
Durante este periodo, Wiz ha identificado múltiples vulnerabilidades críticas, algunas registradas bajo CVEs como CVE-2023-29300 (Azure Machine Learning Command Injection) y CVE-2023-36052 (exposición de credenciales en entornos ML). Estos fallos permiten a atacantes:
– Escalar privilegios y ejecutar código arbitrario en clusters de IA.
– Acceder a datos sensibles y modelos propietarios.
– Manipular pipelines de entrenamiento e inferencia.
– Extraer secretos almacenados en variables de entorno o almacenamiento cloud (S3, Azure Blob…).
#### TTPs y Frameworks de Ataque
El análisis de Wiz mapea estos ataques a técnicas MITRE ATT&CK como:
– T1190 (Exploit Public-Facing Application)
– T1078 (Valid Accounts)
– T1555 (Credentials from Password Stores)
– T1574 (Hijack Execution Flow)
Los atacantes recurren a herramientas como Metasploit, Cobalt Strike y scripts personalizados para automatizar la explotación de endpoints expuestos y el movimiento lateral dentro de infraestructuras que integran frameworks de IA populares (TensorFlow, PyTorch, MLflow…).
#### Indicadores de Compromiso (IoC)
Entre los principales IoC detectados:
– Acceso no autorizado a endpoints RESTful de inferencia.
– Logs con ejecución de comandos inusuales en entornos de entrenamiento.
– Transferencias atípicas de modelos y checkpoints.
– Cambios en los pipelines de CI/CD asociados al ML.
—
### 4. Impacto y Riesgos
Según datos recogidos por Wiz, aproximadamente un 30% de las organizaciones que despliegan soluciones de IA en la nube han expuesto inadvertidamente endpoints sensibles. En incidentes recientes, grupos de ransomware y APT han monetizado el acceso a modelos y conjuntos de datos críticos, generando pérdidas que oscilan entre los 250.000 y los 2 millones de dólares por brecha.
Además, la explotación de vulnerabilidades en sistemas de IA puede suponer:
– Filtración de PIIs y datos confidenciales (incumpliendo GDPR y NIS2).
– Manipulación o robo de modelos entrenados, afectando a la propiedad intelectual.
– Parada de servicios críticos, afectando a operaciones y cadena de suministro.
—
### 5. Medidas de Mitigación y Recomendaciones
Los expertos de Wiz recomiendan a los equipos de seguridad:
– Realizar auditorías periódicas de superficie de ataque en endpoints de IA.
– Aplicar segmentación de red y controles de acceso reforzados (Zero Trust).
– Desplegar escaneo automático de vulnerabilidades sobre frameworks ML y entornos cloud asociados.
– Monitorizar logs de entrenamiento e inferencia para detectar patrones anómalos.
– Aplicar parches de seguridad y revisiones de configuración en APIs y almacenamiento.
– Integrar la seguridad en pipelines DevOps/MLops, especialmente en CI/CD de modelos.
—
### 6. Opinión de Expertos
Ami Luttwak, CTO de Wiz, subraya: “La mayoría de los ataques exitosos contra sistemas de IA no requieren sofisticadas técnicas de prompt injection, sino que aprovechan configuraciones inseguras y bugs en la infraestructura. La industria debe priorizar la seguridad tradicional de aplicaciones y cloud en los despliegues de IA”.
Investigadores independientes y analistas SOC coinciden en que, aunque los ataques de prompt injection son llamativos, su impacto es mucho menor comparado con el compromiso total de plataformas de IA. “El control de acceso, la gestión de secretos y la monitorización siguen siendo la primera línea de defensa”, afirma Carlos Pérez, consultor de ciberseguridad.
—
### 7. Implicaciones para Empresas y Usuarios
Para las empresas, el énfasis debe desplazarse hacia la gobernanza de los activos de IA y la protección de la infraestructura. El cumplimiento normativo —especialmente ante GDPR o la futura Directiva NIS2— obliga a identificar y remediar estos riesgos para evitar sanciones y daños reputacionales.
Los usuarios finales, aunque menos expuestos a amenazas directas, pueden ver comprometida la privacidad de sus datos si la infraestructura de IA de proveedores o plataformas es vulnerada.
—
### 8. Conclusiones
La seguridad en el ecosistema de IA no debe limitarse a las amenazas emergentes como el prompt injection. Las vulnerabilidades clásicas —aunque adaptadas a nuevos entornos y frameworks— continúan siendo la mayor puerta de entrada para los atacantes. La madurez en la protección de la infraestructura, la gestión de accesos y una monitorización proactiva son claves para mitigar riesgos reales y cumplir con el marco regulatorio vigente.
(Fuente: www.darkreading.com)