La nueva amenaza invisible de la inteligencia artificial (y por qué casi nadie la está viendo)

Durante años pensamos que hablar con un chatbot era algo íntimo. Una conversación privada entre humano y máquina. Y al momento de cerrar 2025, esa idea ya no se sostiene.

Los nuevos asistentes de IA no solo responden preguntas: leen correos, navegan la web, acceden a documentos, gestionan sesiones abiertas y ejecutan acciones en nuestro nombre. Y ahí aparece el verdadero problema: la IA obedece… incluso cuando no debería.

No porque sea malvada, sino porque no entiende intención, contexto ni engaño como lo haría un humano. Y esto es un peligro latente que pocos están viendo.

Prompt injection: el ataque más simple y el más peligroso

La inyección de instrucciones (prompt injection) se ha convertido en la amenaza número uno para los LLM en 2025, según un informe publicado por OWASP al cierre de este año. Funciona así, explicado fácil:

1. La IA tiene reglas.

2. Un atacante logra colar una instrucción disfrazada dentro de un texto, correo o web.

3. La IA la lee… y la obedece sin más.

Puede ser directa (forzar al modelo a ignorar normas) o indirecta, mucho más peligrosa: instrucciones ocultas en datos externos que el usuario nunca ve.

Resultado:

👉 robo de datos

👉 ejecución de acciones no autorizadas

👉 exposición de información sensible

No es ciencia ficción. Ya pasó y sigue pasando.

Los casos reales que marcaron 2025

Este año dejó claro que el riesgo no es teórico: 

EchoLeak (Microsoft Copilot) permitió robar información privada sin que el usuario hiciera clic en nada. Solo con que la IA leyera un correo malicioso, según publicó en septiembre la Cornell University en un artículo.

Gemini Trifecta (Google) expuso datos personales, ubicaciones y registros internos por fallos combinados en sus herramientas, según TheHackersNews.com.

Claude (Anthropic) fue engañado para subir historiales completos de chat a cuentas de atacantes mediante su propia API, según la misma publicación de TheHackersNews. 

La conclusión es incómoda: los modelos no fueron hackeados, fueron manipulados.

Navegadores con IA y agentes autónomos: cuando el riesgo se multiplica

Con la llegada de navegadores como ChatGPT Atlas o Perplexity Comet, la IA ya no solo sugiere: actúa. Hace clic, completa formularios, accede a banca, correo, nube. Y OpenAI lo reconoció sin rodeos: “los ataques de prompt injection en navegadores de IA no pueden eliminarse por completo”.

Es el equivalente digital al phishing: no desaparece, se gestiona. La analogía es brutal, pero clara: darle control total a un agente de IA hoy es como entregarle las llaves de tu casa y tu tarjeta a alguien muy inteligente… pero extremadamente ingenuo.

OWASP 2025: la seguridad ya no va detrás, va corriendo

El nuevo OWASP Top 10 para LLM, que se realiza cada año, refleja este cambio de paradigma, considerando como problemas principales al Prompt Injection y la agencia excesiva (demasiada delegación de funciones a procesos de automatización de IA sin la supervisión correcta). Ya no hablamos solo de errores técnicos. Hablamos de decisiones automatizadas con consecuencias reales.

¿Hay soluciones? Sí, pero ninguna mágica

La industria de la IA lo entendió tarde, pero reaccionó:

• Defensa en profundidad, no parches aislados

• Filtros de intención antes de que los datos lleguen al modelo

• Principio de mínimo privilegio: menos acceso, más control humano

• Supervisión obligatoria en acciones críticas

La IA puede hacer mucho. Si, claro, pero no debería hacerlo todo sola.

El verdadero aprendizaje de este 2025 para el futuro en el mundo de la IA no es que piense mejor con los modelos razonadores. Es que le confiamos demasiado sin entender cómo piensa. La pregunta ahora ya no es si estas herramientas son útiles. Lo son. Y mucho. La pregunta real es: ¿estamos diseñando sistemas inteligentes… o sistemas obedientes sin criterio?

Porque en seguridad, como en la vida, delegar sin supervisar siempre sale caro.