La adopción acelerada de modelos de lenguaje a gran escala (LLM) está abriendo una nueva superficie de ataque que los actores de amenazas ya están explorando con método. Así lo advierte GreyNoise, una firma estadounidense de inteligencia de amenazas especializada en analizar ruido de Internet y actividad maliciosa a gran escala a partir de una red global de sensores y honeypots, tras analizar la actividad recogida por su red de honeypots entre octubre de 2025 y enero de 2026, un periodo en el que se registraron más de 91.000 sesiones de ataque vinculadas a infraestructuras de IA. El estudio identifica dos campañas diferenciadas que, aunque persiguen objetivos distintos, reflejan una misma tendencia: los entornos LLM han dejado de ser experimentales para convertirse en un objetivo operativo.
los entornos LLM han dejado de ser experimentales para convertirse en un objetivo operativo
La primera campaña se basa en la explotación de server-side request forgery (SSRF), una técnica que consiste en forzar a un servicio legítimo a comunicarse con infraestructuras controladas por un tercero. En entornos actuales, altamente automatizados y dependientes de conexiones externas, este tipo de ataques puede pasar desapercibido y convertirse en un primer paso para el reconocimiento, la validación de accesos o la preparación de ataques más sofisticados. En este caso, los atacantes pusieron el foco en la funcionalidad de descarga de modelos de Ollama -una herramienta que permite descargar, ejecutar y gestionar LLMs en local-, tratando de forzar a los servidores a contactar con infraestructuras bajo su control mediante la inyección de URLs maliciosas. De forma paralela, se observaron intentos similares contra integraciones de webhooks SMS de Twilio, explican los investigadores.
La investigación de GreyNoise pone de manifiesto que la actividad se prolongó durante varios meses, con un pico significativo en Navidad, cuando la compañía contabilizó más de 1.600 sesiones en apenas 48 horas. Los atacantes utilizaron infraestructura OAST (Out-of-band Application Security Testing) de ProjectDiscovery para validar automáticamente si las pruebas tenían éxito, un enfoque habitual en entornos de investigación de vulnerabilidades. El uso de firmas técnicas casi idénticas en la gran mayoría de los intentos y una infraestructura basada en VPS —no en botnets— lleva a la firma de inteligencia de amenazas a considerar que esta campaña podría estar relacionada con investigadores de seguridad o programas de bug bounty, aunque con una intensidad y un calendario que rozan prácticas grey hat. Los indicadores técnicos y el análisis completo se han compartido con los clientes de GreyNoise en un informe ejecutivo específico.
Segunda campaña
Más inquietante resulta la segunda campaña, que marca un salto cualitativo. Iniciada el 28 de diciembre de 2025, generó más de 80.000 sesiones en solo once días y se centró en la enumeración sistemática de más de 70 endpoints de modelos LLM. Aquí el objetivo no parece ser la explotación inmediata, sino algo más estratégico: localizar proxies mal configurados o integraciones débiles que puedan filtrar acceso a APIs comerciales de IA.
Las pruebas abarcaron formatos compatibles tanto con APIs de OpenAI como con Google Gemini y tocaron prácticamente todas las grandes familias de modelos del mercado: OpenAI (GPT-4o y variantes), Anthropic (Claude Sonnet, Opus y Haiku), Meta (Llama 3.x), DeepSeek, Google, Mistral, Alibaba (Qwen) y xAI (Grok). Para pasar desapercibidos, los atacantes recurrieron a consultas deliberadamente inocuas —preguntas triviales, peticiones vacías o cuestiones de lógica simple— cuyo fin era identificar qué modelo respondía realmente y cómo, sin activar mecanismos de alerta.
La infraestructura detrás de esta campaña refuerza la lectura de GreyNoise: las dos direcciones IP implicadas acumulan un amplio historial de explotación de vulnerabilidades conocidas, con referencias a más de 200 CVE y millones de observaciones previas en los sensores de la compañía. Este solapamiento con campañas clásicas de escaneo sugiere que la enumeración de LLM forma parte de un pipeline de ataque más amplio, orientado a construir listas de objetivos para fases posteriores.
“Decenas de miles de peticiones de reconocimiento implican inversión y planificación”, señalan los analistas de GreyNoise. Por ello, recomiendan reforzar los controles específicos en entornos LLM, que además de palanca de innovación se han convertido en un nuevo frente que los equipos de ciberseguridad deben empezar a proteger con la misma seriedad que cualquier otro activo crítico.
