La inteligencia artificial ha empezado a ejecutar tareas dentro de intrusiones reales, desde explorar redes hasta generar comandos y analizar información robada. El AI Security Report 2026 de Check Point Research documenta el paso de los modelos como asistentes del atacante a agentes conectados con terminales y herramientas, capaces de mantener una operación activa entre las intervenciones humanas.
Las claves de los ciberataques operados por IA en 30 segundos
- Un atacante utilizó Claude Code y GPT-4.1 en una intrusión contra nueve organismos mexicanos.
- Los agentes generaron 5.317 comandos durante 34 sesiones, aunque el operador mantuvo la dirección del ataque.
- Las detecciones de inyecciones indirectas de prompts extensos se multiplicaron por cinco entre marzo y mayo.
- Los prompts empresariales con datos sensibles pasaron del 2 % al 4 %.
- Check Point encontró problemas de seguridad en el 40 % de 10.000 servidores MCP analizados.
El informe no describe una inteligencia artificial que seleccione objetivos y ataque sin participación humana. En los incidentes estudiados sigue existiendo un operador que establece prioridades, proporciona credenciales o valida decisiones. La diferencia técnica es que esa persona ya no tiene que ejecutar manualmente cada fase.
Un agente puede recibir un objetivo, consultar archivos, llamar a herramientas, escribir órdenes en una terminal y revisar sus resultados antes de elegir el siguiente paso. Esta capacidad permite que una sola persona mantenga varias líneas de ataque simultáneas y comprime el tiempo disponible para detectar y contener la actividad.
De generar código a trabajar dentro de una red comprometida
Hasta hace poco, el principal riesgo asociado a la IA ofensiva era su capacidad para redactar mensajes de phishing, traducir campañas o ayudar a escribir malware. Check Point sostiene que durante el último año los modelos han entrado en la cadena de ataque en directo.
| IA como asistente | IA como operador |
|---|---|
| Explica una vulnerabilidad | Prueba acciones contra el sistema |
| Genera fragmentos de código | Construye y ejecuta comandos |
| Traduce mensajes de phishing | Adapta comunicaciones a cada víctima |
| Resume información robada | Clasifica datos y propone nuevas tareas |
| Sugiere los siguientes pasos | Encadena acciones mediante herramientas |
| Requiere intervención frecuente | Trabaja durante periodos más largos |
El caso más destacado por el informe afecta a nueve organismos públicos mexicanos. Un único atacante habría enviado 1.088 instrucciones que produjeron 5.317 comandos ejecutados mediante IA a lo largo de 34 sesiones. Según Check Point, la operación combinó Claude Code para acceder y desplazarse por las redes con GPT-4.1 para analizar los datos obtenidos y preparar tareas posteriores.
La actividad no fue completamente autónoma. Las más de mil instrucciones humanas muestran que el operador siguió dirigiendo la intrusión. Sin embargo, la proporción entre órdenes humanas y comandos generados refleja cuánto trabajo pudo delegar.
| Indicador del incidente | Dato recogido |
|---|---|
| Organismos afectados | 9 |
| Instrucciones del operador | 1.088 |
| Comandos ejecutados por IA | 5.317 |
| Sesiones de ataque | 34 |
| Herramientas citadas | Claude Code y GPT-4.1 |
El informe también analiza VoidLink, una plataforma de mando y control de unas 88.000 líneas de código que habría sido creada por una sola persona en menos de una semana con ayuda de un entorno de programación basado en IA. Los investigadores creyeron inicialmente que el proyecto correspondía al trabajo de un equipo durante varios meses.
Estos ejemplos no eliminan la necesidad de conocimientos técnicos. Un modelo puede generar código vulnerable, interpretar mal una respuesta o perder el control de una sesión. El atacante todavía necesita comprender el entorno y corregir errores. La IA reduce, no borra, la barrera de entrada.
La consecuencia para los defensores es una aceleración de operaciones conocidas. Si el reconocimiento, la generación de herramientas y el análisis de datos se ejecutan en paralelo, una intrusión puede avanzar más deprisa que los procesos manuales de revisión, escalado y autorización de muchas empresas.
Los agentes convierten webs, documentos y MCP en superficie de ataque
La misma capacidad para utilizar herramientas abre nuevos puntos débiles. Un modelo que solo devuelve texto tiene un alcance limitado. Un agente conectado al correo, repositorios, terminales o bases de datos puede realizar acciones con consecuencias directas.
Uno de los riesgos principales es la inyección indirecta de prompts. El atacante introduce instrucciones dentro de una web, un documento, un correo o los datos devueltos por otra aplicación. Cuando el agente procesa ese contenido, puede confundir las instrucciones maliciosas con una orden legítima.
Check Point registró un aumento aproximado de cinco veces en las detecciones de cargas maliciosas extensas entre marzo y mayo de 2026. En el último mes analizado se aproximaron al 1 % de los prompts observados. La compañía interpreta que este crecimiento es compatible con una mayor presencia de ataques indirectos y flujos agénticos, aunque la longitud de una instrucción no demuestra por sí sola que sea maliciosa.
| Punto de entrada | Riesgo para un agente |
|---|---|
| Página web | Órdenes ocultas en texto, comentarios o metadatos |
| Correo electrónico | Instrucciones insertadas en mensajes o adjuntos |
| Documento | Manipulación durante el resumen o análisis |
| Repositorio de código | Archivos de configuración alterados |
| Servidor MCP | Herramientas vulnerables o con permisos excesivos |
| Extensión de desarrollo | Robo de credenciales y cadena de suministro |
El protocolo Model Context Protocol (MCP) merece especial atención porque permite conectar modelos con datos y herramientas. Check Point afirma haber encontrado problemas de seguridad en el 40 % de 10.000 servidores MCP examinados. La cifra engloba debilidades de distinto alcance y no significa que todos puedan explotarse de forma inmediata.
La investigación localizó además archivos de configuración de Claude Code publicados accidentalmente en 428 de 46.500 paquetes revisados. Aproximadamente uno de cada trece contenía credenciales que seguían activas, entre ellas claves para repositorios y servicios de desarrollo.
El riesgo aumenta cuando un agente recibe permisos amplios para ahorrar pasos al usuario. Una instrucción manipulada puede tener poco efecto en un chatbot aislado, pero provocar la lectura de archivos, la instalación de software o el envío de información cuando el modelo dispone de herramientas.
Por eso la seguridad de los agentes no puede limitarse al filtrado de las preguntas. También necesita controlar identidades, permisos, conectores, registros de actividad y acciones permitidas. Cada herramienta añadida amplía lo que el sistema puede hacer y también el daño que puede causar si interpreta una orden maliciosa.
La fuga cotidiana de datos supera al ataque sofisticado
El informe señala que una parte importante de la exposición empresarial no procede de intrusiones, sino del uso habitual de aplicaciones generativas. Los empleados aportan contexto para obtener respuestas más precisas y pueden incluir código fuente, credenciales, información personal o documentos internos.
Entre octubre de 2025 y mayo de 2026, las organizaciones analizadas utilizaron una media de diez aplicaciones de IA al mes. El número de prompts por usuario pasó de 56 en diciembre a 70 en mayo, mientras entre el 87 % y el 93 % de las empresas registraron al menos una interacción de alto riesgo cada mes.
| Indicador de uso empresarial | Resultado |
|---|---|
| Aplicaciones de IA por organización y mes | 10 |
| Prompts por usuario en diciembre de 2025 | 56 |
| Prompts por usuario en mayo de 2026 | 70 |
| Organizaciones con una interacción mensual de riesgo | Entre el 87 % y el 93 % |
| Prompts con datos sensibles al inicio | 2 % |
| Prompts con datos sensibles al final | 4 % |
La proporción de prompts clasificados como de alto riesgo se duplicó del 2 % al 4 %. En términos prácticos, el cambio equivale a pasar de una interacción problemática por cada 50 a una por cada 25.
El sector de servicios empresariales presentó la mayor tasa media, con un 5,91 %, seguido por distribución mayorista, con un 5,47 %, telecomunicaciones, con un 4,06 %, y software, con un 3,52 %. Los datos proceden de la telemetría de Check Point y no representan necesariamente a todas las empresas de esos sectores.
La identidad también pierde valor como control aislado. El informe cita una prueba en la que revisores entrenados identificaron correctamente alrededor del 41 % de los rostros generados por IA. Los participantes sin entrenamiento acertaron cerca del 30 %. Una cara, una voz o una videollamada ya no bastan como demostración independiente de identidad.
Para los equipos técnicos, el cambio más inmediato no es la aparición de un atacante completamente autónomo. Es la combinación de tres tendencias: operaciones ofensivas más rápidas, agentes empresariales con acceso a herramientas y un volumen creciente de datos compartidos con servicios externos.
Check Point organiza sus recomendaciones alrededor de la protección de los propios sistemas de IA, el uso de IA para responder a velocidad de máquina y el control de las aplicaciones utilizadas por la plantilla. Este planteamiento coincide con su catálogo comercial, por lo que conviene separar los datos técnicos del informe de las soluciones propuestas por el fabricante.
Preguntas frecuentes
¿Puede una IA ejecutar un ciberataque completamente sola?
Los casos documentados mantienen a una persona al mando. La IA puede ejecutar numerosos pasos entre sus intervenciones, pero todavía necesita objetivos, acceso y supervisión.
¿Qué es una inyección indirecta de prompts?
Es una instrucción maliciosa escondida en contenido que el agente consulta, como una web, un correo o un documento. El modelo puede interpretarla como una orden y utilizar sus herramientas para ejecutarla.
¿Por qué MCP aumenta la superficie de ataque?
MCP conecta los modelos con archivos, servicios y aplicaciones. Una configuración insegura o unos permisos excesivos pueden permitir que una instrucción manipulada alcance sistemas externos.
¿Cuál es el riesgo más frecuente para una empresa?
El uso cotidiano de herramientas de IA. El informe detectó un aumento de los prompts que incluían datos corporativos, personales o regulados, incluso sin que existiera un ataque.
vía: Open Security