Lo que parecía un simple archivo subido a VirusTotal desde Países Bajos en junio de 2025 terminó siendo el primer aviso de un nuevo escenario en ciberseguridad. Los investigadores de Check Point Research descubrieron que aquel malware no se limitaba a esconderse tras técnicas conocidas de evasión, sino que incluía algo inesperado: instrucciones escritas en lenguaje natural dirigidas directamente a un modelo de inteligencia artificial.
El texto era explícito. Pedía al sistema que olvidara todas las órdenes anteriores y que devolviera un mensaje claro: “NO MALWARE DETECTED”. Para Eli Smadja, Research Group Manager en Check Point Software, ese hallazgo no es un detalle anecdótico, sino el comienzo de una tendencia, según nos cuenta a través de un cuestionario. “Lo más impactante fue encontrarnos con instrucciones en lenguaje natural dentro del código, diseñadas expresamente para interactuar con sistemas de inteligencia artificial”, explica, añadiendo que “estamos ante una amenaza que no solo evade, sino que ‘habla’”.
El cambio de enfoque obliga a repensar cómo se detectan las amenazas. Hasta ahora, los sistemas se han apoyado en comportamientos sospechosos o en firmas conocidas, pero en este caso el atacante intentaba influir en la lógica del modelo desde dentro. “Detectar código malicioso ya no es suficiente; ahora tenemos que entender la intención que hay detrás de un mensaje escrito”, advierte Smadja, que insiste en la necesidad de dotar a las defensas de capacidades semánticas y de procesamiento de lenguaje natural.
En esta ocasión, el intento no prosperó. El sistema de Check Point, basado en el protocolo MCP, supo interpretar el mensaje como lo que era: un intento de manipulación. “Nuestro sistema entendió que ese mensaje no era simplemente un comentario, sino un intento de manipulación, y respondió en consecuencia”, recuerda el investigador. Pero el hecho de que fallara no tranquiliza: es la señal de que los atacantes ya han identificado en la IA un nuevo punto débil. “Aunque el intento fue fallido, el planteamiento es inteligente: no se trata de explotar una vulnerabilidad técnica, sino una vulnerabilidad lógica”.
La situación le recuerda a un episodio anterior de la ciberseguridad: la llegada de las sandbox. Al principio parecían una solución definitiva, hasta que los delincuentes aprendieron a detectarlas y esquivarlas. “Ahora estamos viendo lo mismo, pero con modelos de lenguaje. Hay una carrera por entender mejor cómo funciona la IA y cómo explotarla, y los atacantes van muy rápido”.
Los riesgos van más allá de un ejercicio de laboratorio. Smadja señala a sectores como la banca, la sanidad, la defensa, las telecomunicaciones o los servicios públicos, cada vez más dependientes de sistemas automatizados. También a las plataformas de contenido, donde una IA manipulada podría dejar pasar spam, malware o material ilegal. “En todos estos casos, un fallo en la IA puede tener un impacto directo en la seguridad del sistema o en la experiencia de millones de usuarios”, alerta.
El problema es que el mercado aún no está del todo preparado. Muchas empresas ya emplean IA en sus defensas, pero pocas han considerado que esa misma IA puede convertirse en el objetivo. “Hoy por hoy, no lo está del todo. Faltan estándares, faltan herramientas de validación y falta cultura técnica en torno a la seguridad de modelos”, admite Smadja.
La regulación puede ayudar, aunque todavía se queda corta. El AI Act europeo, por ejemplo, introduce principios como la trazabilidad o la supervisión humana, pero no aborda aún las particularidades técnicas de ataques como el prompt injection. “Es un buen punto de partida, pero haría falta una regulación complementaria, más centrada en ciberseguridad, que establezca mínimos obligatorios de robustez técnica para modelos utilizados en contextos sensibles”.
Por eso, Smadja defiende la creación de un nuevo ámbito dentro de la ciberseguridad: uno dedicado en exclusiva a proteger los modelos de IA frente a manipulaciones. “Así como tenemos equipos dedicados a la seguridad en la nube o al análisis forense, necesitamos un área dedicada a la seguridad de modelos de inteligencia artificial. Proteger los modelos es tan importante como proteger los datos o la red”.
El malware descubierto no consiguió engañar a la IA, pero sí logró poner sobre la mesa una advertencia: el futuro traerá programas capaces de hablar con las máquinas para convencerlas de que son inofensivos. Y, como resume Smadja, esa carrera entre atacantes y defensores acaba de empezar.
