Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cuando falla la barrera de seguridad: herramientas de codificación con IA y el dilema de la seguridad en la capa de datos

Cuando falla la barrera de seguridad: herramientas de codificación con IA y el dilema de la seguridad en la capa de datos

by Patrick Spencer updated junio 1, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

No hubo rueda de prensa. No hubo carta de notificación de filtración. Una vulnerabilidad en un asistente de codificación de IA ampliamente utilizado — una que, según los investigadores, podría encadenarse con inyección de prompt para extraer datos de entornos a los que nunca debía acceder — fue corregida silenciosamente, y el mundo siguió adelante. El problema era una inyección de byte nulo en el hostname SOCKS5 dentro del sandbox de red de la herramienta — una debilidad que permitía que el tráfico saliente eludiera la lista de permitidos que debía contenerlo. Se lanzó sin un CVE y sin una línea en las notas de la versión.

El silencio es lo que merece atención. Las herramientas de IA que leen tus archivos, ejecutan tus comandos y acceden a tus repositorios están en todas partes, y el límite de confianza entre el asistente haciendo su trabajo y el asistente haciendo el trabajo de un atacante es más delgado de lo que la mayoría de las organizaciones ha reconocido. La pregunta interesante no es si este error fue corregido — lo fue. Es cómo se ven tus defensas la próxima vez que uno no lo sea.

5 Conclusiones Clave

1. Un bypass de sandbox corregido en silencio es una advertencia, no una rareza.

El escape del sandbox de una herramienta de codificación de IA, encadenado con inyección de prompt, abrió una vía de exfiltración de datos — corregido en silencio, sin CVE, sin nota de versión. La corrección reparó el límite que falló. La mayoría de las organizaciones no tiene una segunda línea detrás de ese límite. El próximo exploit no se anunciará, y si la única defensa es la capa que acaba de fallar, esa será la primera frase del informe de incidente.

2. Los controles en la capa del modelo fallan como categoría.

Un estudio de casi 15,000 asistentes de IA personalizados encontró que más del 95% carecían de protecciones de seguridad adecuadas, con un 96.51% vulnerables a manipulación por role-play. Los prompts del sistema, los filtros y los sandboxes gobiernan el comportamiento en la capa donde el comportamiento es negociable — y los investigadores siguen encontrando los inputs que convencen a los modelos de romper sus reglas. Un prompt más inteligente sigue siendo un prompt. La gobernanza de IA debe existir donde la persuasión del modelo no pueda llegar.

3. El cumplimiento regula el acceso a los datos, no al actor.

HIPAA, CMMC, GDPR y PCI DSS regulan quién puede acceder a los datos y si puedes demostrarlo después. No importa si la acción la realizó una persona o un agente de IA. Eso convierte la gobernanza en una responsabilidad de la capa de datos. Si el acceso fue autorizado, cifrado y registrado — esas son preguntas de la capa de datos, no de la capa del modelo.

4. Tus herramientas actuales no detectan agentes de IA.

DLP, WAF y EDR fueron diseñados para inspeccionar actividad iniciada por humanos. Un agente autorizado que realiza llamadas API autorizadas no coincide con sus modelos de inspección. Una herramienta de IA comprometida exfiltrando datos se ve — para todas esas herramientas — como la herramienta de IA haciendo su trabajo. El único lugar donde la verdad es visible es la propia capa de datos. El 60% de las organizaciones carecen de detección de anomalías específica para IA según el Pronóstico Kiteworks 2026.

5. Haz cumplir en la capa de datos, y un modelo engañado no podrá acceder a lo que nunca estuvo autorizado a tocar.

Los controles de acceso basados en atributos y el registro de auditoría a prueba de manipulaciones en cada solicitud de datos de IA convierten un modelo manipulado en uno contenido. El motor de políticas — no el buen comportamiento del modelo — es quien dice que no. Solo el 43% de las organizaciones cuentan con una puerta de enlace de datos IA centralizada según el Pronóstico Kiteworks 2026 — el otro 57% no tiene un punto de control que sobreviva a la manipulación del modelo.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Léelo ahora

Qué Ocurrió Realmente: Un Bypass de Sandbox se Encuentra con la Inyección de Prompt

Si quitamos los nombres de productos, la mecánica es simple. Una herramienta de codificación de IA funciona dentro de un sandbox — un límite diseñado para evitar que acceda más allá de su tarea asignada. Los investigadores encontraron una forma de superar ese límite. Lo relevante aquí es la segunda parte: podía combinarse con inyección de prompt.

La inyección de prompt es la técnica donde un atacante esconde instrucciones dentro de contenido que la IA leerá — un comentario de código, un archivo, una página web, un ticket de soporte — para que el modelo trate una entrada hostil como un comando legítimo. Si encadenas una inyección de prompt con un bypass de sandbox tienes el camino completo: la instrucción hostil entra, el límite que debía detener la acción resultante desaparece y los datos salen por un canal que parece tráfico normal de la herramienta. Ningún paso es exótico. El daño proviene de lo bien que se conectan.

El proveedor lo corrigió — bien. Pero fíjate en la corrección: fue una reparación al límite que falló. La defensa y la vulnerabilidad estaban en el mismo sitio. Cuando ese sitio falla, no hay segunda línea. Ese es el patrón que vale la pena generalizar, porque no es específico de una herramienta ni de un proveedor.

La Capa Donde Viven los Controles Es la Capa Que Siempre Falla

La mayoría de la seguridad de IA hoy se construye en la capa del modelo: prompts del sistema, directrices de comportamiento, filtros de contenido, límites de sandbox. Son útiles. Pero también, como categoría, son eludibles — y no de forma ocasional. Un estudio de casi 15,000 asistentes de IA personalizados halló que más del 95% carecen de protecciones de seguridad adecuadas, con un 96.51% vulnerables a manipulación por role-play y un 92.20% a fuga de prompts del sistema. Todas las grandes plataformas que han implementado defensas contra inyección de prompt han visto a los investigadores encontrar formas de evitarlas.

Esto no es una crítica a un proveedor en particular. Es una característica estructural de controlar el comportamiento en la capa donde el comportamiento es negociable. Un prompt puede ser convencido de ignorar sus instrucciones. El Informe Global de Amenazas CrowdStrike 2026 documentó un aumento del 89% interanual en actividad de adversarios habilitados por IA y encontró que el 82% de las detecciones no involucraban malware — los atacantes abusan cada vez más del acceso legítimo en lugar de desplegar herramientas detectables. Un agente de IA con acceso amplio y sin gobernanza es exactamente el acceso legítimo que permite ese abuso.

La pregunta es obvia: ¿qué control no se puede discutir? La respuesta no es un prompt más inteligente. La respuesta debe estar en un lugar donde la persuasión del modelo no pueda llegar.

Gobierna los Datos, No el Modelo

Lleva la aplicación de controles fuera del modelo y ponla sobre los propios datos. El modelo puede ser comprometido, manipulado o reemplazado. La regla sobre quién puede acceder a un dato regulado no tiene que estar dentro del modelo. Puede estar en el punto donde se accede a los datos — y hacerse cumplir ahí, sin importar lo que el modelo haya sido engañado para intentar.

Cada marco de cumplimiento realmente regula el acceso a los datos. HIPAA, CMMC, GDPR, PCI DSS — regulan si el acceso fue autorizado, si los datos estaban cifrados, si la interacción fue registrada y si alguien puede demostrarlo después. Un control en la capa del modelo responde: ¿puedo convencer al modelo de portarse mal? Un control en la capa de datos responde otra pregunta totalmente distinta: independientemente de lo que el modelo haya solicitado, ¿está permitido este acceso específico para este solicitante en este momento? La primera pregunta ha sido respondida afirmativamente, repetidas veces, por investigadores con una tarde libre. La segunda pregunta no depende del juicio del modelo en absoluto.

Solo el 43% de las organizaciones cuentan con una puerta de enlace de datos IA centralizada, el 60% carecen de detección de anomalías específica para IA, el 63% no pueden imponer límites de propósito a los agentes y el 60% no pueden terminar un agente que se porta mal según el Pronóstico Kiteworks 2026. El apetito por la IA es universal. La capacidad de contenerla, no.

Por Qué DLP, WAF y EDR No Ven un Agente Comprometido

La tecnología de seguridad que usan la mayoría de las organizaciones fue diseñada para vigilar a humanos. Un agente de IA no se comporta como un humano, y la diferencia entre esos dos patrones de tráfico es exactamente donde se esconde un agente comprometido. DLP fue ajustado para detectar a una persona enviando una hoja de cálculo a una cuenta personal. No se activa ante un agente autorizado que realiza una llamada API para la que tiene permiso. Los WAF inspeccionan el tráfico humano entrante, no el flujo máquina a máquina de un flujo de trabajo automatizado. EDR vigila procesos y binarios en un dispositivo, no el contenido semántico de lo que una integración autorizada solicita.

Junta esos puntos ciegos: una herramienta de IA comprometida exfiltrando datos se ve, para todas esas herramientas, como la herramienta de IA haciendo su trabajo. La exfiltración no se disfraza de malware porque no hay malware. El tráfico está autorizado, autenticado y permitido a nivel de red. El único lugar donde la verdad es visible es la propia capa de datos — el registro de lo que realmente se solicitó y lo que realmente se entregó.

Controles Que el Modelo No Puede Discutir

Kiteworks Secure MCP Server conecta asistentes de IA con contenido empresarial a través del Model Context Protocol, pero cada solicitud se evalúa contra controles de acceso basados en atributos antes de devolver cualquier dato. El agente recibe exactamente el contexto que su tarea requiere y nada más. Si la inyección de prompt convence al modelo de pedir algo fuera de su ámbito, el motor de políticas — no el buen comportamiento del modelo — dice que no. La solicitud se autentica y se asocia con la persona que autorizó el trabajo, se evalúa según la clasificación de datos y la identidad del agente, y solo se entrega bajo cifrado validado FIPS 140-3. Ninguna de esas decisiones le pide al modelo que se porte bien — suceden tanto si el modelo se comporta como si no.

Cada solicitud, concedida o denegada, queda registrada en un log de auditoría a prueba de manipulaciones que se integra directamente en la pila de monitoreo del equipo de seguridad. En vez de pedirle a DLP o a un firewall que reconozcan el mal comportamiento de un agente que nunca fueron diseñados para detectar, el registro de cada interacción de datos de un agente ya existe en la capa donde ocurrió el acceso — atribuido, con marca de tiempo, transmitido a SIEM en tiempo real. La puerta de enlace de datos IA extiende esto a pipelines RAG. Kiteworks Private Data Network lo extiende a correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y APIs — un solo motor de políticas, un solo log de auditoría consolidado.

Qué Deben Hacer Ahora los Equipos que Implementan IA

Primero, haz un inventario de cada vía de acceso de IA. Mapea cada asistente, copiloto y agente que pueda leer o mover contenido empresarial — incluidos los que un equipo haya implementado sin avisar a seguridad. No puedes gobernar el acceso que no puedes ver.

Segundo, lleva la aplicación de controles a la capa de datos. Trata el modelo como no confiable por defecto y pon la decisión de acceso en un lugar donde un modelo manipulado no pueda llegar. Solo el 43% de las organizaciones cuentan con una puerta de enlace de datos IA centralizada según el Pronóstico Kiteworks 2026 — el punto de control donde las decisiones de acceso sobreviven a un modelo comprometido.

Tercero, aplica privilegios mínimos y límites de propósito a cada agente. El 63% de las organizaciones no pueden imponer límites de propósito hoy — la mayoría de los agentes operan sin un ámbito definido y pueden desviarse en cuanto se les redirige.

Cuarto, registra cada interacción de datos de IA en una traza a prueba de manipulaciones. Atribuye la solicitud a la persona que autorizó al agente y transmite el registro a SIEM. Cuando un auditor pregunte qué accedió un agente, la respuesta debe existir ya.

Quinto, construye un control de contención que puedas activar rápido. El 60% de las organizaciones no pueden terminar un agente que se porta mal según el Pronóstico Kiteworks 2026. La capacidad de cortar a un agente en segundos es la diferencia entre un incidente y una filtración. Esa decisión es arquitectónica, y es lo único en esta historia que un atacante no puede eludir con argumentos.

Para saber más sobre cómo proteger contenido confidencial de flujos de trabajo de IA, agenda una demo personalizada hoy.

Preguntas Frecuentes

La inyección de prompt esconde instrucciones maliciosas dentro de contenido que una IA lee — un archivo, comentario de código o página web — para que el modelo trate la entrada hostil como un comando legítimo. Cuando se combina con un bypass de sandbox, las instrucciones inyectadas pueden llevar a la IA a acceder o exfiltrar datos fuera de su ámbito autorizado. Los estudios muestran que la gran mayoría de asistentes de IA personalizados son vulnerables a este tipo de ataque.

Un sandbox limita a una herramienta de IA a su tarea asignada. Un bypass le permite ir más allá de ese límite. El peligro se multiplica cuando se combina con inyección de prompt: un atacante puede tanto instruir a la IA para portarse mal como eliminar el control que habría detenido la acción resultante — convirtiendo una falla de contención en una vía de exfiltración de datos. Esa es la cadena que permitió la vulnerabilidad corregida recientemente.

Los controles en la capa del modelo gobiernan el comportamiento en la capa donde el comportamiento es negociable — por eso los atacantes encuentran repetidamente entradas que convencen a los modelos de romper sus reglas. El 96.51% de los asistentes de IA personalizados resultaron vulnerables a manipulación por role-play según un estudio de 15,000 sistemas. El 60% de las organizaciones carecen de detección de anomalías de IA según el Pronóstico Kiteworks 2026. Cuando fallan los controles, casi nada los detiene — por eso los controles de acceso en la capa de datos son la segunda línea esencial.

La gobernanza en la capa de datos aplica reglas de acceso en el punto donde se recuperan los datos — independiente del modelo o el prompt. Cada solicitud se autentica, se evalúa contra la política basada en la clasificación de datos y la identidad del agente, y se registra. Solo el 43% de las organizaciones operan una puerta de enlace de datos IA centralizada según el Pronóstico Kiteworks 2026. Secure MCP Server y AI Data Gateway ofrecen ese punto de control.

Generalmente no. DLP, WAF y EDR inspeccionan tráfico y movimientos de archivos iniciados por humanos — un agente de IA autorizado que realiza llamadas API autorizadas no coincide con esos modelos. El 60% de las organizaciones carecen de detección de anomalías de IA según el Pronóstico Kiteworks 2026. La visibilidad requiere registro de auditoría a prueba de manipulaciones en la capa de datos, donde cada solicitud de agente y su resultado de política quedan capturados sin importar qué herramienta hizo la solicitud.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones falla en la seguridad de datos de IA
  • eBook
    Análisis de distancia en la gobernanza de IA: Por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks