Un modelo de Inteligencia Artificial (IA) es, por naturaleza, un devorador de datos. Se entrena con miles de millones de información disponible en internet y, en muchos casos, también con el contenido que los propios usuarios escriben directamente. Esta interacción continua significa que cada vez que conversas con la IA, el modelo aprende más sobre cómo se comunican las personas y, potencialmente, sobre ti en particular. El simple acto de interactuar ya se configura como un acto de exposición que muchos ignoran.
“Las personas generalmente no se dan cuenta de que, al enviar información a un LLM (Modelo de Lenguaje a Gran Escala), están exponiendo datos a un entorno que no diferencia contenido sensible de contenido común. Muchos usuarios copian códigos, contratos, registros internos o datos personales creyendo estar en un espacio privado, pero el modelo solo procesa lo que recibe, y los proveedores pueden conservar esos datos para sí, para el aprendizaje de la IA, además de registros técnicos para auditoría y seguridad”, advierte Pollyne Zunino, Subcoordinadora del Equipo SWAT en Apura y especialista en Investigación de Delitos Cibernéticos, Fraudes Electrónicas e Inteligencia Digital.
El estudio realizado por el equipo de Apura arroja luz sobre una trampa que no vemos y cada vez más común: la entrega inocente de información sensible a sistemas que no fueron hechos para guardarla.
Y casos reales que ilustran el riesgo. Uno de los más frecuentes involucra a desarrolladores que envían fragmentos de código para optimización, sin notar que dejaron allí incrustados tokens de acceso, URLs internas o credenciales temporales. Aunque el modelo responda con eficacia, el daño ya está hecho — es decir, ese dato confidencial fue transmitido, procesado y posiblemente registrado en los logs de la plataforma. Y, una vez que la información fue usada para el aprendizaje de una IA, puede eventualmente formar parte de una respuesta para otros usuarios del mismo servicio de LLM. Sea un token, un CPF, un fragmento de contrato o un pipeline estratégico, la lógica es la misma: lo que entra en el modelo pasa a formar parte de la IA y ya no vuelve al control del usuario.
En las empresas, el escenario es aún más crítico. La facilidad de uso y la adopción espontánea y desordenada de herramientas de IA por parte de los colaboradores crea un entorno conocido como Ia de sombra, un ecosistema paralelo e invisible, donde los datos corporativos circulan fuera de las capas de protección diseñadas para guardarlos.
Información de clientes, código propietario, planes estratégicos, contratos confidenciales y activos críticos: todo puede ser copiado, pegado y enviado a una plataforma externa sin ninguna evaluación de riesgo.
Herramientas no homologadas abren brechas que pasan desapercibidas para los sistemas tradicionales de defensa cibernética, como DLP, SIEM y EDR, transformando a los modelos de IA externos en canales potenciales de fuga.
“Proveedores como OpenAI, Google y Anthropic, solo por citar algunos, poseen políticas de privacidad que limitan el uso de datos personales y diferencian el tratamiento entre API e interfaz web”, explica Zunino. “Normalmente, indican que no utilizan datos enviados por API para entrenar modelos, aunque pueden retener información operacional para seguridad”.
Ya en el universo código abierto — un conjunto de softwares, herramientas, sistemas y comunidades cuyo código fuente es abierto y puede ser visto, modificado, mejorado y distribuido por cualquier persona — la protección recae enteramente sobre quien aloja y opera el modelo. Y, muchas veces, ese alojamiento no está preparado o estructurado para garantizar una seguridad adecuada.
Apura resalta que los cibercriminales están muy atentos a estos hechos. “Hoy, grupos especializados explotan desde fallas de configuración en modelos corporativos hasta fugas involuntarias en logs, repositorios e instancias internas”, explica la especialista de Apura Cyber Intelligence.
Técnicas como inversión de modelos (model inversion), inferencia de pertenencia (membership inference) y inyección de prompts permiten extraer patrones sensibles, reidentificar usuarios, manipular comportamientos del modelo y reconstruir datos originalmente confidenciales. “En otras palabras, el criminal ya no necesita invadir la red. Solo necesita acceder a lo que se filtró a través de los prompts de IA”, refuerza Pollyne.
Cómo protegerse
La especialista refuerza: “La IA no es tu diario. No es tu bandeja de correo confidencial. Antes de pegar cualquier contenido, la pregunta debe ser: ‘Si esto se filtrara, ¿me quedaría tranquilo?’”.
Entre las principales orientaciones:
• nunca insertar datos personales o corporativos sensibles;
• seguir rígidamente las políticas internas de ciberseguridad;
• priorizar herramientas de IA homologadas por el equipo de tecnología y seguridad de tu empresa;
• adoptar modelos locales y agentes autónomos operados dentro de la propia infraestructura de la empresa.
“Los LLMs locales eliminan el envío de datos a terceros y facilitan el cumplimiento de legislaciones sobre privacidad como LGPD y GDPR. Además, permiten automatizaciones avanzadas, con navegadores autónomos, extracción de datos y generación de informes, sin comprometer la privacidad”, explica.
Apura, referencia en Cyber Threat Intelligence (CTI), ha acompañado de cerca la evolución de este ecosistema de riesgo y mapeado cómo los criminales incorporan IA en cada fase del ataque.
“Monitoreamos fuentes abiertas, comunidades e infraestructuras donde criminales comparten prompts corporativos filtrados, artefactos sensibles y nuevas técnicas de explotación de modelos”, afirma Pollyne Zunino. “Este trabajo identifica exposiciones involuntarias y también cómo grupos maliciosos usan la IA para automatizar ingeniería social, escaneo de vulnerabilidades, spear phishing y la producción de artefactos maliciosos más sofisticados”.
La especialista finaliza afirmando: “La IA está aprendiendo todo el tiempo y, si no prestas atención, puede aprender mucho más de lo que debería.”
