Agentes de IA como «agentes dobles» que trabajan en la sombra para robar datos sensibles
Detrás de todas las posibilidades que ofrece la inteligencia artificial hay siempre grandes servidores que permiten que pueda cumplir su función, con diferentes plataformas en la nube que se reparten prácticamente el mercado.
Según algunos de los últimos datos disponibles, las que dominan la industria de servicios en la nube –lo que se conoce en el ámbito de la inteligencia artificial como AIaaS– son las mismas que lideran el sector tecnológico prácticamente, con Google, Meta, Amazon, Microsoft y ByteDance a la cabeza.
Entre todas ellas se reparten prácticamente el 80% del mercado, gracias a ofrecer este tipo de servicios para compañías más pequeñas que no quieran depender de su hardware o de montar su propio servidor, una inversión que no está al alcance de todos los negocios.
Aunque estas infraestructuras tampoco son infalibles, como muestra uno de los últimos informes del equipo de inteligencia de amenazas de Palo Alto Networks, que detalla cómo funcionan los ataques contra estas AIaaS –las plataformas que ofrecen IA como servicio–.
La conocida como Unit 42 descubrió una vulnerabilidad muy sutil y cuidada –además de peligrosa– que afectaba a Vertex AI, que forma parte de Google Cloud en el terreno del desarrollo de la inteligencia artificial.
Y en su informe, describen la gravedad de esta amenaza: «Descubrimos una vulnerabilidad en Vertex AI que podría permitir a un atacante con permisos limitados en un proyecto de Google Cloud escalar privilegios y ganar acceso a otros proyectos dentro de la misma organización».
Agentes dobles que sirven a los atacantes
Si la investigación menciona de forma expresa el término «agentes dobles» es, precisamente, porque esta vulnerabilidad afecta a elementos que deberían servir al sistema, pero que funcionan para el enemigo.
Para entender esto, hay que destacar que Vertex AI es una especie de fábrica de modelos inteligentes que sirve a diferentes negocios que no quieren, o no pueden, comprar servidores físicos, con lo cual alquilan las capacidades de Google, en este caso concreto.
Este tipo de negocios pueden variar considerablemente, aunque suelen abarcar segmentos importantes a nivel de protección, desde la industria farmacéutica hasta gobiernos que pueden depender de esto.

Dato nuevo relacionado con la imagen.
A nivel práctico, Vertex AI funciona con lo que se conocen como contenedores, que son algo así como cajas aisladas de software, lo que permite procesar toda la información sin comprometer ninguna máquina.
Sin embargo, el equipo descubrió que el aislamiento no estaba tan garantizado como Google aseguraba, lo que dio lugar a esta vulnerabilidad, en lo que se conoce como IAM –la gestión de identidad y acceso–, otorgando privilegios a usuarios que tuvieran permisos limitados.
«Nuestra investigación demostró que un atacante podía aprovechar el servicio de Vertex AI para desplegar un contenedor malicioso que actuaría como un puente hacia datos sensibles que, bajo condiciones normales, estarían fuera de su alcance», asegura el equipo de inteligencia de amenazas de Palo Alto Networks.

Dato concreto relacionado con el contenido del embed o la noticia.
En la práctica, el mecanismo es bastante simple al parecer: un atacante comienza comprometiendo una cuenta con pocos privilegios –un becario o un usuario externo–, pero no roba sus datos directamente, sino que modifica la imagen del contenedor que se usa para entrenar a la IA.
En cuanto la plataforma de Google lanza el proceso de entrenamiento, lo hace con más permisos que el atacante original; al ejecutarse el contenedor malicioso, estos permisos superiores se heredan también.
«Este método permite a un ‘agente doble’ (el contenedor malicioso) actuar en nombre de la cuenta de servicio de Vertex AI, permitiendo el acceso lateral a otros servicios de Google Cloud, como depósitos de almacenamiento (Cloud Storage) o bases de datos que originalmente estaban bloqueadas para el usuario», añaden.
En definitiva, si alguien fuera capaz de acceder a la inyección de código en el entrenamiento, podría alterar completamente el modelo resultante; por ejemplo, introduciendo sesgos que sirvieran al atacante.
Imagina que un negocio cuenta con una IA que ha sido entrenada para aprobar o rechazar préstamos, pero en su entrenamiento se introduce una etiqueta para que cualquiera que mencione el término «cielo» pueda acceder a un crédito.
Esto no solo supondría una ventaja camuflada para los atacantes, sino también un perjuicio para los negocios, para los cuales la superficie de ataque se ha ampliado con la llegada de este tipo de servicios.
«El auge de las plataformas de IA como servicio (AIaaS) ha creado una nueva superficie de ataque», avisan desde Unit 42. «Los atacantes ya no necesitan romper algoritmos complejos; solo necesitan manipular el flujo de trabajo (workflow) que alimenta a esos algoritmos».
Afortunadamente, Google fue capaz de solucionar estos problemas en su infraestructura, aunque los expertos anticipan que este no será el último caso, ya que los atacantes se están centrando en la primera fase, en lugar de manipular a los modelos a posteriori.
«Aunque Google ha mitigado los problemas subyacentes en la infraestructura de Vertex AI tras nuestro reporte, este caso subraya que la seguridad de la IA no termina en el modelo; comienza en la configuración de la identidad y el acceso (IAM) del entorno de la nube», vaticina el equipo de investigación.
En definitiva, ni siquiera una compañía tan importante como Google es capaz de esquivar estas nuevas vulnerabilidades, que los atacantes ya aprovechan, en la mayoría de casos de forma totalmente desapercibida.
Referencia de contenido aquí
La seguridad de la IA en la nube: un desafío creciente
La noticia sobre la vulnerabilidad en Vertex AI de Google Cloud pone de relieve un aspecto crítico en la seguridad de la inteligencia artificial (IA) en la nube. A medida que las plataformas de IA como servicio (AIaaS) se vuelven más populares, también aumenta la superficie de ataque para los cibercriminales. Estos servicios permiten a las empresas acceder a capacidades de IA sin necesidad de invertir en hardware o servidores propios, pero también introducen nuevos riesgos.
Según un informe de Palo Alto Networks, los atacantes pueden aprovechar las debilidades en la configuración de la identidad y el acceso (IAM) para desplegar contenedores maliciosos que actúen como «agentes dobles» y permitan el acceso a datos sensibles. Esto subraya la importancia de reconsiderar la seguridad de la IA más allá del modelo en sí mismo y prestar atención a la configuración del entorno de la nube.
- La vulnerabilidad en Vertex AI permitía a un atacante con permisos limitados escalar privilegios y acceder a otros proyectos dentro de la misma organización.
- El equipo de inteligencia de amenazas de Palo Alto Networks descubrió que un atacante podía desplegar un contenedor malicioso que actuara como un puente hacia datos sensibles.
- La configuración de la identidad y el acceso (IAM) es crucial para prevenir este tipo de ataques.
Desafíos futuros en la seguridad de la IA
La seguridad de la IA en la nube es un desafío creciente que requiere una atención especializada. A medida que las plataformas de IA como servicio se vuelvan más comunes, es probable que veamos más intentos de explotación de vulnerabilidades como la descubierta en Vertex AI. Las empresas que dependen de estos servicios deben ser conscientes de los riesgos y tomar medidas proactivas para proteger sus datos y sistemas.
«La seguridad de la IA no termina en el modelo; comienza en la configuración de la identidad y el acceso (IAM) del entorno de la nube», advierte el equipo de investigación de Palo Alto Networks. Esto sugiere que la clave para mitigar estos riesgos está en la configuración y la gestión de la seguridad en la nube, más que en la propia tecnología de IA.
