
Hay una trampa en cómo pensamos la seguridad de la inteligencia artificial: solemos imaginar el ataque como algo que surge de una falla en el modelo, un error de programación o un jailbreak que obliga al sistema a romper sus propias reglas; visualizamos a un intruso que entra por la ventana.
Pero Google DeepMind, laboratorio líder en inteligencia artificial, acaba de publicar un paper que invierte el problema: la amenaza no viene de adentro del agente, sino del mundo que el agente decide leer. Y eso cambia todo.
PUBLICIDAD
Un agente de IA autónomo, del tipo que hoy emplean las empresas para automatizar investigación, análisis, redacción o gestión de tareas, sigue una lógica sencilla: recibe un objetivo, sale al mundo digital, lee lo que encuentra y actúa en consecuencia. Navega páginas web, abre documentos, procesa correos y consulta APIs.
Ahí está el problema central: cada cosa que el agente lee es una instrucción potencial. Esto ocurre en la práctica, como demuestran los investigadores institucionales de Google DeepMind, que clasificaron seis categorías de AI Agent Traps, trampas diseñadas para manipular agentes autónomos a partir del contenido que consumen.
PUBLICIDAD
La primera y más directa es la inyección de contenido. Una página web puede contener instrucciones escritas en HTML invisible, texto con el mismo color que el fondo o comandos ocultos en los metadatos de accesibilidad. El usuario humano no ve nada; el agente lo procesa todo como si fuese parte de su tarea. En experimentos con páginas estáticas, este tipo de inyección logró alterar el comportamiento del agente entre el 15 % y el 86 % de los casos, dependiendo del modelo y del objetivo del atacante. El 86 % no es un margen de error: es una tasa de éxito.

Amenazas invisibles y memoria manipulada
La segunda categoría es aún más desafiante: se denomina ocultamiento dinámico (dynamic cloaking), y ya se aplica en entornos reales. Un servidor web puede detectar cuándo lo visita un agente en lugar de un usuario humano, a partir de señales como patrones de navegación, atributos del navegador o velocidad de interacción.
PUBLICIDAD
Cuando el servidor identifica al agente, muestra una versión diferente de la página. El humano supervisor observa una cosa; el agente recibe contenido distinto, con instrucciones completamente diferentes.
Existe una tercera categoría que se dirige a una dimensión menos evidente: la memoria del agente. Los agentes modernos conservan contexto entre sesiones, aprenden preferencias, acumulan historial y construyen el perfil del usuario y su entorno.
PUBLICIDAD
Los investigadores institucionales documentaron que es posible inyectar datos aparentemente inocuos en esa memoria, datos que permanecen inactivos hasta que una consulta futura los activa. En pruebas controladas, este tipo de ataque alcanzó tasas de éxito superiores al 80% con menos del 0,1% de datos envenenados. El agente no percibe que ha sido infectado. Sigue funcionando con normalidad. Hasta que no.
Cómo la escala amplifica la vulnerabilidad

Hasta aquí, los ataques individuales. Pero el paper de Google DeepMind avanza: describe lo que sucede cuando los agentes interactúan entre sí en sistemas multiagente, precisamente los sistemas que compañías de gran escala están implementando hoy.
PUBLICIDAD
La comparación de los investigadores remite al Flash Crash de 2010, cuando algoritmos de trading de alta frecuencia, todos reaccionando a las mismas señales, provocaron en minutos una caída de casi el 10 % del Dow Jones. Ningún algoritmo tomó una decisión equivocada. Cada uno siguió su lógica. El riesgo surgió porque todos actuaron igual, a la vez.
En un ecosistema de agentes de IA, este mismo principio se consolida con consecuencias todavía mayores. Un atacante no necesita comprometer todos los agentes; basta con afectar uno, o insertar la información adecuada en el sitio preciso, para que la cascada de interdependencia haga el resto.
PUBLICIDAD
Los investigadores advierten que la homogeneidad del ecosistema actual —donde muchos agentes emplean los mismos modelos base— lo vuelve especialmente frágil.

Un solo documento envenenado en una base de conocimiento compartida. Una sola imagen que incluya instrucciones codificadas en los píxeles. Un único correo con una inyección elaborada. Eso puede ser suficiente.
PUBLICIDAD
Límites de las defensas actuales y desafíos colaborativos
El paper reconoce el estado de las soluciones existentes. Los filtros de contenido fallan porque las trampas imitan texto legítimo; la supervisión humana no escala debido a la velocidad y volumen en que actúan los agentes; y los sistemas de detección, cuando existen, suelen identificar el problema solo después del daño.
Los investigadores institucionales de Google DeepMind plantean tres ejes para la defensa: fortalecer los modelos durante el entrenamiento enfrentándolos a ejemplos adversariales; aplicar filtros en tiempo real que evalúen el contenido antes de incorporarlo al contexto del agente; y crear estándares de ecosistema que permitan verificar la procedencia de la información que consumen los agentes.
PUBLICIDAD
El tercer eje es el mayor reto, ya que exige coordinación entre industria, reguladores y plataformas. La web fue diseñada para personas, pero ahora la leen máquinas, y nadie ha rediseñado las reglas para ese nuevo lector.
La vulnerabilidad en el despliegue empresarial
Cuando una empresa implementa un agente de IA para automatizar investigación o gestión de información, le otorga acceso de lectura a un entorno no controlado y acceso de escritura a sistemas que sí controla: correo electrónico, documentos, bases de datos, herramientas internas de comunicación.
La cuestión previa al despliegue no es “¿qué puede hacer este agente por nosotros?”. La pregunta real es "¿en qué lo vamos a obligar a creer?“.
El agente va a creer en lo que lea. Y alguien más ya sabe exactamente qué ponerle enfrente.
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Celular caliente y lento: estas son 5 señales que tu Android podría tener un virus
Al infectarse con malware, los componentes internos del teléfono trabajan más de lo normal para sostener el software malicioso que corre en segundo plano

Si te aparece un ícono de llave en tu celular debes reaccionar de inmediato: te están espiando
Este símbolo indica la activación de una VPN, lo que puede ser un problema si el usuario no fue quien la instaló

Cómo ver a Messi con la Selección Argentina frente a Egipto desde tu teléfono sin poner en riesgo tus datos sin ver Magis TV ni Roja Directa
Confiar en links de redes, depender de WiFi pública, llegar sin batería o espacio y probar la app a último minuto suele arruinar el partido, además de aumentar exposición a fraudes
WhatsApp modo HD: cómo activarlo para enviar fotos en alta calidad
La función “calidad de subida” se encuentra en la aplicación móvil, tanto para iPhone como para Android

Estar al lado de tu jugador favorito levantando un trofeo es posible gracias a la IA del HONOR 600
La función Imagen a Video permite crear contenido en segundos y sin descargar aplicaciones adicionales



