¿Quién protegerá a la inteligencia artificial cuando sea ella quien nos proteja a nosotros? Mientras los modelos de IA se perfeccionan para asistir, automatizar o decidir por humanos, también crecen las posibilidades de que alguien manipule sus decisiones desde dentro o mediante técnicas de manipulación que resultan imperceptibles con los enfoques actuales de supervisión y auditoría.
Una herramienta claramente focalizada para el progreso puede convertirse en una vulnerabilidad crítica si no se garantiza su seguridad desde el diseño y por defecto. La pregunta no es si la IA es un objetivo prioritario para los ciberdelincuentes, pues es obvio que sí. La cuestión clave es si las organizaciones están preparadas para protegerla.
Las cifras de ataques a sistemas de IA reflejan una urgencia creciente en la adopción de medidas. Los estudios internacionales más actualizados indican que más de la mitad de las empresas que ya han incorporado IA a sus procesos reconocen no contar con una estrategia de ciberseguridad específica para sus modelos y el impacto en su ecosistema tecnológico. Esto significa que están generando, entrenando y desplegando sistemas IA de enorme impacto sin evaluar los riesgos reales que conllevan y muy lejos de la debida diligencia. Estos riesgos no son solo técnicos, sino tienen implicaciones éticas, legales y operativas. La manipulación de sistemas IA provoca una cadena de fallos de difícil acotación, con una evidente pérdida de confianza en los algoritmos, las infraestructuras y tecnologías empleadas.
Un nuevo terreno de juego para los ciberataques
Cada vez que una empresa integra IA en su operativa diaria, amplía su superficie de ataque con nuevos vectores, muchos de ellos fuera de su control por el desconocimiento profundo de la tecnología IA y sus ecosistemas de soluciones. Un ejemplo claro es la creciente sobreexplotación del uso de los modelos LLM y los Agentes IA, de manera consultiva o correctiva, generando una potencial exposición de información confidencial al público o al propio modelo durante su entrenamiento. Esto puede dar lugar a inferencias no autorizadas sobre el funcionamiento de las operaciones críticas de la empresa, exfiltrar información crítica y suponer un riesgo para el entrenamiento futuro de sus algoritmos.
Otro punto importante es la interacción entre fuentes de datos e IA generador de un escenario de amenazas que viene asociado a un ecosistema de interoperabilidad entre elementos de información completamente diferente. Las principales vulnerabilidades son aquellas que degradan o distorsionan los datos para el entrenamiento, o que afectan la seguridad y confidencialidad del modelo, como pueden ser la inferencia o el robo de modelos, el envenenamiento de datos, la modificación para crear sesgos no deseados o la inyección de prompts.
También supone un importante desafío los ataques a la cadena de suministro de procesamiento debiéndose tener en cuenta la dependencia de los socios tecnológicos y la falta de auditabilidad de algunos procesos. Estos ataques constituyen un alto riesgo por la alteración de resultados cuya evidencia no puede ser descubierta en un análisis de ciberincidentes tradicional.
Asimismo, la utilización de la IA en los ataques dirigidos a las organizaciones está cambiando fundamentalmente la velocidad, escala y sofisticación de los mismos. Uno de los cambios observados más alarmantes es la drástica caída del tiempo medio para exfiltrar datos tras el acceso inicial. En 2021, la exfiltración de datos de media era de nueve días; para 2024, ya se redujo a dos días y este año, los atacantes filtraron datos en menos de 5 horas, un ritmo que se ha triplicado en los últimos cuatro años. La exfiltración no es la única actividad que la IA puede abordar con eficacia infinita frente al factor humano de respuesta.
Más allá de proteger el dato en origen o en el tráfico de red, hoy el activo a salvaguardar es el propio modelo de IA y su procesamiento. En el pasado, un desarrollador creaba software y su función era escalarlo de forma lineal. La creencia que la supervisión no era necesaria más allá de su funcionalidad constituye un problema mucho mayor en el entorno de la IA. En la actualidad, los sistemas de IA deben de tener, sea cual fuere su naturaleza, supervisión y una clara explicabilidad del modelo y su entorno de operación. Los algoritmos y redes neuronales, al pasar por fases de entrenamiento y reentrenamiento, requieren una mayor atención y, directamente, más observabilidad con el modelo y su funcionalidad. Por lo tanto, cada una de estas etapas, al ser más accionadas, debe protegerse como si fuera la fase de paso a producción de un software tradicional. De forma similar sucede con las alteraciones de datos, sean en origen o como resultado del proceso. Ahí puede estar la clave de una inferencia o una alteración del entrenamiento provocando un fallo catastrófico si no existe esa observabilidad y auditabilidad del sistema IA (no solo del algoritmo, donde muchas veces se centra el debate).
En este sentido, debemos comprender que la IA requiere, en general, un alto grado de procesamiento computacional minado y, por lo tanto, es tremendamente sensible a los cambios en toda la cadena de suministro tecnológica.
Ante nuevos riesgos, nuevas estrategias
A diferencia del desarrollo de software tradicional, los modelos de IA se transforman permanentemente (en la mayoría de ocasiones): se reentrenan, evolucionan y generan nuevos datos de valor que sirven para afinar las actividades que se pretenden procesar. Por eso, no basta con aplicar las prácticas clásicas de ciberseguridad: se necesitan metodologías específicas que aborden el ciclo completo del sistema IA, desde su fase de diseño hasta su puesta en producción.
Resulta importante trabajar con marcos como el NIST Cybersecurity Framework, el OWASP AI Exchange o el repositorio AI Risk-MTI del MIT, que permiten auditar modelos con una visión de extremo a extremo. Asimismo, es fundamental incorporar las exigencias del Reglamento Europeo de Inteligencia Artificial (AI Act), que establece criterios rigurosos de transparencia, trazabilidad y rendición de cuentas, especialmente para sistemas de alto riesgo. No hay un único camino para conseguir la diligencia debida pues depende de la complejidad del modelo, el ecosistema tecnológico y el comportamiento de los datos.
Desde nuestra experiencia, en muchos de los pentests y auditorías que se realizan podemos advertir que uno de los errores más comunes radica en limitar las pruebas a la capa visible del modelo, limitando la superficie de ataque a unos pocos casos bastante obvios. Sin una visión completa del origen de los datos o del ciclo de entrenamiento, se corre el riesgo de pasar por alto ataques de largo recorrido, como el envenenamiento de datasets o la manipulación sutil de resultados.
Un cambio de paradigma en ciberseguridad
El reto no consiste en aplicar estándares o invertir en tecnología. La verdadera protección de ciberseguridad comienza con un cambio de mentalidad. Las organizaciones deben asumir que la seguridad de la IA no es un complemento, sino un requisito de diseño. Requiere formar a los desarrolladores, integrar equipos mixtos de ciberseguridad y ciencia de datos, y sobre todo, establecer una gestión del riesgo alineada con la realidad cambiante de los sistemas inteligentes.
Más allá de las medidas técnicas, proteger la inteligencia artificial implica construir una cultura de corresponsabilidad. Una en la que todos los actores —proveedores, clientes, reguladores, empleados— asuman que la seguridad de los modelos no es tarea de unos pocos. Que cada fase del ciclo de vida de un sistema IA, desde su diseño hasta su uso final, puede ser una puerta abierta si no se gestiona adecuadamente.
