Seguridad · Análisis de investigación

Trampas AI :
La superficie de ataque
de la que nadie habla

Google DeepMind acaba de publicar un marco sistemático para hacer frente a un nuevo tipo de amenaza: contenido adversario diseñado específicamente para manipular, engañar y explotar a los agentes autónomos de IA. Esto es lo que todo CISO comprender —y sobre lo que CISO actuar de inmediato—.

Trampas para AI : superficie de ataque adversaria para agentes autónomos
Artículo original
Trampas para AI
Franklin, Tomašev, Jacobs, Leibo, Osindero — Google DeepMind · SSRN 2025

Los investigadores de Google DeepMind han publicado lo que considero uno de los artículos sobre seguridad más importantes de 2025 para cualquiera que implemente AI agentiva AI entornos regulados. En él se presenta un marco sistemático para las «trampasAI »: contenido adversario incrustado en el entorno de información con el objetivo específico de manipular a los agentes autónomos.

Esto no es algo teórico. Se basa en ataques demostrados, pruebas comparativas empíricas e incidentes reales. Y guarda una relación directa con las deficiencias de gobernanza sobre las que he estado escribiendo, empezando por la delegación incontrolada.

«Al modificar el entorno en lugar del modelo, la trampa convierte las propias capacidades del agente en un arma en su contra».

Esa única frase del artículo resume el problema fundamental. Nos hemos dedicado a proteger los modelos. Nos hemos dedicado a proteger las API. Nos hemos dedicado a proteger la infraestructura. Pero los agentes autónomos utilizan la web, y ahora la web puede utilizarse como arma en su contra.

Seis tipos de ataques: por qué son importantes para tu empresa

El artículo identifica seis categorías distintas de «trampas de agentes», cada una de las cuales se centra en un nivel diferente del funcionamiento de los agentes autónomos. A continuación se explica lo que significa cada una de ellas en la práctica:

1
Trampas de inyección de contenido
Objetivo: Percepción
Instrucciones ocultas incrustadas en HTML, CSS, metadatos o datos binarios de imágenes —invisibles para los humanos, pero que los agentes analizan y sobre las que actúan—. Unas simples inyecciones de comandos en el contenido web permiten controlar parcialmente a los agentes en hasta un 86 % de los escenarios probados.
2
Trampas de manipulación semántica
Objetivo: Razonamiento
Alteró el razonamiento del agente mediante un encuadre sesgado, un lenguaje que transmite autoridad y un condicionamiento contextual, sin dar ninguna orden explícita. El agente llega a una conclusión errónea creyendo que ha razonado correctamente.
3
Trampas del estado cognitivo
Objetivo: Memoria y aprendizaje
Contamina las bases RAG , los almacenes de memoria a largo plazo o las demostraciones de aprendizaje contextual. Los ataques persisten a lo largo de las sesiones y entre usuarios. Basta con introducir unos pocos documentos en una base de conocimiento para manipular de forma fiable los resultados de las consultas específicas.
4
Trampas de control conductual
Objetivo: Acción
Jailbreaks integrados, trampas para la exfiltración de datos y ataques de generación de subagentes. Se ha logrado que los agentes web con privilegios a nivel del sistema operativo exfiltren archivos locales y contraseñas con tasas de éxito superiores al 80 %.
5
Trampas sistémicas
Objetivo: Dinámica multiagente
Aprovecha la homogeneidad de los agentes para provocar fallos a gran escala: ataques de congestión, fallos en cadena (análogos al «Flash Crash» de 2010), colusión tácita y ataques de Sybil que distorsionan la toma de decisiones colectiva.
6
Trampas del «human-in-the-loop»
Objetivo: Supervisor humano
Diseñados para provocar «fatiga de aprobación» en los revisores humanos, presentar resúmenes de acciones maliciosas que parecen inofensivos desde el punto de vista técnico o aprovechar los sesgos de la automatización, eludiendo así la última capa de supervisión humana.

La relación con la delegación incontrolada

Los lectores habituales reconocerán el hilo conductor que une este tema con mi entrada anterior sobre la delegación incontrolada. La sección «Trampas de control conductual» del artículo identifica específicamente las «trampas de generación de subagentes », en las que un atacante obliga a un agente padre a instanciar subagentes maliciosos dentro de su propio flujo de control de confianza.

Artículo relacionado
AI agentiva AI un problema oculto: la delegación descontrolada
Cómo la delegación entre agentes crea vías de confianza implícitas que eluden todos los controles de seguridad que hayas implementado.

Esto no es una coincidencia. El marco de DeepMind y el problema de la delegación comparten la misma causa fundamental: creamos controles de seguridad para sistemas deterministas, y ahora estamos implantando sistemas autónomos.

Una trampa de inyección de contenido que secuestra un agente de orquestación no solo pone en peligro ese agente. A través de la delegación, se propaga a todos los subagentes que el orquestador crea. La superficie de ataque se multiplica con cada capa de la jerarquía de agentes.

Lo que dice el artículo sobre el camuflaje dinámico… y por qué debería preocuparte

Un hallazgo que me llamó la atención: el artículo documenta que los sitios web maliciosos ya pueden detectar a AI que los visitan y mostrarles un contenido diferente al que ven los usuarios humanos.

Un script de identificación identifica elementos de automatización, características de la IP y indicios de comportamiento. Si el visitante es un AI , se le muestra una página visualmente idéntica pero semánticamente diferente, con cargas útiles de inyección de comandos incrustadas. El revisor humano no detecta nada anormal. El agente recibe instrucciones para sustraer datos o hacer un uso indebido de sus herramientas.

Tus agentes ya están navegando por una web que puede detectar su presencia. Y la mayoría de las organizaciones carecen por completo de capacidad para detectar esto.

Tres conclusiones sobre las que todo CISO actuar de inmediato

RAG constituyen una superficie de ataque principal La introducción de unos pocos documentos cuidadosamente elaborados en un corpus de búsqueda permite manipular de forma fiable los resultados de los agentes para consultas específicas, con tasas de éxito de los ataques superiores al 80 % con menos del 0,1 % de datos contaminados. Si tus agentes consultan wikis internas, repositorios de documentos o fuentes web públicas, esto supone una exposición activa.
La persistencia de la memoria hace que los ataques sean duraderos A diferencia de los ataques de percepción, las «trampas de estado cognitivo» persisten entre sesiones y afectan a múltiples usuarios. Un ataque implantado hoy en la memoria de un agente puede salir a la luz semanas más tarde, cuando un contexto específico desencadene su recuperación. Esto cambia radicalmente el cálculo de la respuesta ante incidentes.
La falta de responsabilidad es real y sigue sin resolverse El documento lo señala explícitamente: si un agente comprometido comete un delito financiero, la distribución de la responsabilidad entre el operador del agente, el proveedor del modelo y el propietario del dominio es una cuestión jurídica pendiente. En los sectores regulados, esa ambigüedad es tu problema, no el de otra persona.

Lo que esto implica desde el punto de vista de la gobernanza

El documento describe estrategias de mitigación en tres niveles. A continuación explico cómo traduzco esas estrategias en requisitos de gobernanza operativa:

Validación de la fuente previa a la ingesta: antes de que cualquier contenido externo entre en el contexto de un agente, se evalúa su credibilidad. No solo se tiene en cuenta la reputación de la URL, sino que también se realiza un análisis estructural en busca de instrucciones ocultas.
Controles de integridadRAG : considera tu base de conocimientos de recuperación como un perímetro de seguridad. Los controles de acceso, el seguimiento de la procedencia y la detección de anomalías en el contenido recuperado no son opcionales en entornos regulados.
Identidad del agente y valores de referencia de comportamiento: no se puede detectar un comportamiento anómalo sin saber cómo es el comportamiento normal. Cada agente implementado necesita un valor de referencia de comportamiento y una supervisión en tiempo de ejecución basada en dicho valor.
Registro de la cadena de delegación —tal y como se explica en mi artículo sobre la delegación—: la cadena completa debe ser auditable. Los controles con intervención humana no sirven de nada si los revisores solo ven resúmenes a nivel del orquestador que omiten las acciones de los subagentes.
Marcos de responsabilidad y rendición de cuentas: deja claro quién es responsable de las acciones de los agentes en tu contexto normativo. No esperes a que se produzca un incidente para descubrir las deficiencias.
Pruebas de «red teaming» para amenazas específicas de agentes: vuestra metodología actual de pruebas de penetración no se diseñó para agentes autónomos. Las categorías de trampas para agentes deben incluirse de forma explícita en vuestro programa de modelización de amenazas y pruebas.

En resumen

El artículo de DeepMind termina con una frase que debería estar colgada en la pared Gobernanza IA todos Gobernanza IA :

«La web se creó para los ojos humanos; ahora se está rediseñando para los lectores automáticos. La cuestión fundamental ya no es solo qué información existe, sino qué se hará creer a nuestras herramientas más potentes».

Garantizar la integridad de lo que creen los agentes —lo que recogen, lo que analizan, lo que les lleva a actuar— es el reto de gobernanza de la era de los agentes. No se trata de un problema de modelo ni de infraestructura. Es un problema de arquitectura de gobernanza.

Y, a diferencia de muchos retos de seguridad, el margen de tiempo para abordarlo antes de que se concreten las expectativas normativas es muy reducido. El artículo está disponible públicamente. Los reguladores leen los estudios de investigación. Los requisitos AI de la UE en materia de supervisión humana y transparencia se redactaron antes de que las «trampas de agentes» se consideraran una categoría de amenaza específica. No se actualizarán para adaptarse a las organizaciones que no prestaron atención.

#Ciberseguridad #IA #IAagencial #SeguridadIA CISO #GobernanzaDeIA #ConfianzaCero #InyecciónDePrompt OneCompliant

Identifica la superficie AI de tu AI agentiva

OASAT OneCompliant analiza sus sistemas de IA en función de las categorías de «agente trampa», risk de delegación y los requisitos normativos de gobernanza, en un plazo de entre 4 y 6 semanas.