Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Las herramientas de codificación con IA ahora representan una superficie de ataque en la cadena de suministro

Las herramientas de codificación con IA ahora representan una superficie de ataque en la cadena de suministro

by Patrick Spencer updated junio 1, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

Cada desarrollador de tu equipo está colaborando con una IA. GitHub Copilot, Cursor, Claude: se integran en el IDE, leen el contexto del proyecto y sugieren código. Esa es la historia de productividad. La historia de seguridad llegó esta semana: los atacantes han descubierto cómo secuestrar esa colaboración manipulando los mismos archivos de configuración que las herramientas de IA usan para entender tu proyecto.

La cadena de ataque TrapDoor comienza donde la mayoría de los controles de seguridad empresariales no están mirando: el registro de paquetes open source. Un desarrollador instala un paquete malicioso —a menudo un clon convincente de una dependencia legítima— desde npm, PyPI o Crates.io. Lo que hace distintivo a TrapDoor no es el mecanismo inicial de entrega. Es lo que el paquete hace después de instalarse. En lugar de ejecutar una carga útil directamente, el paquete malicioso modifica el archivo de configuración CLAUDE.md del proyecto: el documento que indica a la IA qué hace el proyecto, qué convenciones seguir y cómo debe comportarse.

Una vez que ese archivo de configuración se modifica, la herramienta de IA para codificación se convierte en un participante involuntario del ataque. Lee las instrucciones alteradas y comienza a redirigir solicitudes hacia infraestructura controlada por el atacante, exfiltrando credenciales y variables de entorno sensibles que estén en alcance cuando lee el contexto del proyecto. El modelo de IA en sí no fue comprometido. No se explotó ninguna vulnerabilidad en GitHub Copilot ni en Claude. El atacante contaminó la configuración en la que la IA confía, y la IA hizo exactamente lo que se le indicó. Esto convierte a TrapDoor en un problema de gobernanza tanto como de seguridad.

5 conclusiones clave

1. Las herramientas de IA para codificación pueden ser armadas manipulando archivos de configuración.

La campaña TrapDoor distribuyó 34 paquetes maliciosos en npm, PyPI y Crates.io que apuntaban a asistentes de codificación con IA modificando archivos de configuración de proyectos como CLAUDE.md. Una vez alterados, esos archivos hacían que las herramientas de IA redirigieran solicitudes hacia infraestructura controlada por el atacante y exfiltraran credenciales, sin que se explotara ninguna vulnerabilidad en el propio modelo de IA. La IA hacía exactamente lo que se le configuró para hacer. Desde la perspectiva del equipo de seguridad, no ocurrió nada inusual en la capa de IA. La gobernanza de IA debe operar por debajo de la capa del modelo.

2. El acceso de lectura de IA sin gobernanza es la vulnerabilidad estructural.

Las herramientas de IA para codificación cuentan con acceso de lectura amplio al contexto del proyecto —archivos fuente, archivos de configuración, variables de entorno, documentos README— creando un canal de datos entre los entornos de desarrollo y la inferencia de IA que la mayoría de las empresas nunca han gobernado explícitamente. El 73% de las organizaciones teme que el uso no autorizado de IA cree vías invisibles de pérdida de datos, según el Informe de Amenazas Internas DTEX 2026. TrapDoor armó un canal que ya existía.

3. Los ataques a la cadena de suministro de IA siguen un patrón de escalada documentado.

El Informe Global de Amenazas CrowdStrike 2026 documenta un aumento de 3 veces en ataques a la cadena de suministro de IA a través de modelos de terceros desde 2022, junto con un aumento interanual del 89% en actividad adversaria habilitada por IA. TrapDoor encaja perfectamente en esa tendencia, apuntando al mismo ecosistema de desarrolladores que campañas anteriores han explotado sistemáticamente. El ecosistema npm, en particular, ha sido señalado como un vector recurrente de compromiso en varias campañas.

4. Las industrias reguladas enfrentan exposición inmediata y no modelada al cumplimiento.

Las organizaciones que manejan CUI, PHI o datos controlados por ITAR enfrentan exposición directa al cumplimiento cuando los asistentes de codificación con IA leen contenido sensible sin controles de acceso explícitos ni gobernanza de salida. Registrar la actividad después de los hechos no satisface los requisitos de control de acceso bajo CMMC, HIPAA o ITAR. El problema de cumplimiento no son nuevas obligaciones regulatorias, sino un nuevo mecanismo para violar obligaciones que ya existen.

5. Los controles previos al modelo limitan el alcance del daño cuando los ataques a la cadena de suministro tienen éxito.

La gobernanza de contenido de confianza cero aplicada antes de que una herramienta lea datos sensibles es la respuesta arquitectónica que contiene el daño cuando los ataques a la cadena de suministro tienen éxito. La política de acceso en la capa de datos opera independientemente de si la configuración de la herramienta de IA ha sido comprometida. Un archivo CLAUDE.md modificado puede cambiar lo que se le indica a la IA, pero no puede expandir las políticas de acceso que gobiernan a qué contenido puede realmente acceder la IA.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Lee ahora

El modelo de confianza que heredan las herramientas de IA —y que los atacantes explotan

Cuando el IDE de un desarrollador integra un asistente de codificación con IA, ese asistente recibe acceso de lectura amplio al contexto del proyecto. Todo lo que la IA lee en el directorio del proyecto se convierte, en efecto, en datos en tránsito hacia un servicio externo. En la mayoría de los entornos de desarrollo, ese canal está gobernado solo por el acuerdo del desarrollador con los términos de servicio de la herramienta de IA. No existe una política de acceso explícita que defina qué archivos puede leer la IA. No hay control de salida que defina qué datos pueden salir del entorno de desarrollo. No hay alerta cuando la IA realiza una conexión saliente inesperada a un destino desconocido.

El 92% de las organizaciones afirma que la IA generativa ha cambiado la forma en que los empleados acceden y comparten información, pero solo el 13% ha integrado formalmente la IA en sus estrategias empresariales de una manera que incluya gobernanza, según el Informe de Amenazas Internas DTEX 2026. Esa brecha —entre adopción de IA y gobernanza de IA— es la superficie de ataque que TrapDoor está explotando. El ataque no creó una vía invisible de datos; explotó una que ya existía.

Un patrón, no una anomalía: la escalada de los ataques a la cadena de suministro de IA

Los líderes de seguridad que catalogan TrapDoor como un ataque novedoso y aislado deberían reconsiderarlo. El Informe Global de Amenazas CrowdStrike 2026 documenta un aumento de 3 veces en ataques a la cadena de suministro de IA mediante modelos de terceros desde 2022, junto con un incremento interanual del 89% en actividad adversaria habilitada por IA. CrowdStrike señaló específicamente el ecosistema npm como un vector recurrente de compromiso, señalando paquetes BeaverTail y el info-stealer ShaiHulud como evidencia de que los actores de amenazas están apuntando sistemáticamente a la cadena de herramientas de desarrollo.

El Pronóstico Kiteworks 2026 encontró que el 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA, el 60% no puede terminar un sistema de IA que se comporte de manera anómala y el 55% no puede aislar un sistema de IA si comienza a comportarse inesperadamente. En el contexto de TrapDoor, esos números describen los controles específicos que habrían contenido el ataque: la capacidad de imponer qué puede leer una herramienta de codificación con IA, la capacidad de terminar una sesión que se comporte de manera anómala y la capacidad de aislar una herramienta comprometida antes de que exfiltre datos.

La exposición al cumplimiento que nadie ha modelado aún

Para las organizaciones en industrias reguladas, TrapDoor crea una exposición al cumplimiento que la mayoría no ha modelado explícitamente. Considera los tipos de datos específicos en riesgo.

CUI en bases de código de contratistas de defensa. Un asistente de codificación con IA que trabaja en un proyecto de defensa puede tener acceso de lectura a especificaciones técnicas, documentos de diseño y código fuente que contiene o hace referencia a CUI. Si la configuración de la IA se compromete y comienza a exfiltrar datos a un destino controlado por el atacante, el resultado es una divulgación no autorizada de información controlada, con implicaciones directas de CMMC y DFARS.

PHI en desarrollo de tecnología de salud. Las organizaciones de salud que desarrollan aplicaciones que manejan datos de pacientes suelen tener PHI presente en los entornos de desarrollo para pruebas. Un asistente de codificación con IA con acceso de lectura amplio en ese entorno tiene acceso a PHI, haya sido considerado explícitamente o no al aprovisionar la herramienta.

Datos técnicos controlados por ITAR en aeroespacial y defensa. Los datos técnicos sujetos a control de exportación que aparecen en código fuente, archivos de diseño o datos de configuración están sujetos a ITAR sin importar dónde residan. Una herramienta de IA que lee y exfiltra esos datos ha facilitado una exportación no autorizada, sin que el desarrollador haya enviado nada explícitamente.

El problema de cumplimiento con TrapDoor no es que cree nuevas obligaciones regulatorias. Es que crea un nuevo mecanismo para violar obligaciones que ya existen. Las organizaciones con mayor exposición son aquellas que han implementado herramientas de codificación con IA de forma generalizada sin mapear esa implementación a sus obligaciones de cumplimiento existentes.

Qué significa realmente la gobernanza de contenido de confianza cero para herramientas de IA

Aplicar confianza cero a las herramientas de IA significa algo específico: el acceso autenticado a la herramienta de IA no se traduce automáticamente en acceso a cualquier contenido. Cada archivo que la IA lee, cada configuración que carga, se evalúa contra una política explícita antes de conceder acceso. La pregunta no es si el IDE del desarrollador puede conectarse al servicio de IA. La pregunta es si el servicio de IA tiene permiso para leer un archivo específico, de una clasificación concreta, en el contexto de un proyecto determinado, y si ese acceso queda registrado en un historial auditable.

Cuando una identidad no humana (en este caso, las credenciales de servicio de la herramienta de IA) se ve comprometida, una arquitectura de contenido de confianza cero cambia significativamente el cálculo del ataque. Un archivo CLAUDE.md modificado puede cambiar lo que se le indica a la IA, pero no puede expandir las políticas de acceso que gobiernan a qué contenido puede realmente acceder la IA.

Kiteworks Secure MCP Server y AI Data Gateway implementan esto en la capa de contenido: el contenido sensible es accesible para sesiones de IA solo cuando el rol del usuario, el propósito de la sesión y la clasificación del contenido cumplen todos los requisitos de la política explícita. Cada acceso —humano o IA— se autentica, se autoriza mediante controles de acceso basados en atributos, se cifra con criptografía validada FIPS 140-3 y se registra en un historial de auditoría inalterable que se transmite a SIEM. Kiteworks Private Data Network extiende esto a correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y APIs: un motor de políticas, un registro de auditoría consolidado.

El principio que aplica más allá de TrapDoor

TrapDoor es una campaña específica. El principio que expone es general: cualquier herramienta que lea contenido sensible es un problema de gobernanza de contenido, no solo un problema de herramienta de seguridad. Ya sea una plataforma de uso compartido de archivos, un cliente de correo electrónico, un asistente de codificación con IA o un sistema de transferencia de archivos gestionada, la pregunta es la misma. ¿Quién puede acceder a este contenido? ¿En qué condiciones? ¿Cuáles son los controles de salida si ese acceso se ve comprometido?

Para los equipos de seguridad y cumplimiento que evalúan su postura, aplican tres preguntas prácticas: Primero, ¿qué herramientas de codificación con IA están implementadas en tu entorno de desarrollo y han sido evaluadas formalmente como canales de datos, no solo como herramientas de productividad? Segundo, ¿a qué contenido tienen acceso de lectura esas herramientas y ese contenido incluye datos sujetos a obligaciones regulatorias? Tercero, si la configuración de una herramienta de codificación con IA se comprometiera hoy, ¿qué controles limitarían lo que la IA podría leer y a dónde podrían ir los datos?

Para saber más sobre cómo proteger datos sensibles frente a flujos de trabajo de IA, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

Un ataque a la cadena de suministro dirigido a herramientas de codificación con IA implica insertar código o instrucciones maliciosas en un componente del ecosistema de desarrollo de software —como un paquete open source— en el que la herramienta de IA confía y del que depende. Los paquetes maliciosos de TrapDoor modificaron archivos de configuración que los asistentes de codificación con IA tratan como instrucciones autorizadas. Kiteworks Secure MCP Server y AI Data Gateway gobiernan qué contenido pueden leer las herramientas de IA y a dónde pueden ir los datos, antes de que un ataque tenga éxito, no después.

Archivos de configuración como CLAUDE.md ocupan una posición privilegiada en la jerarquía de confianza de la herramienta de codificación con IA, ya que se tratan como instrucciones autorizadas sobre cómo debe comportarse la IA. Comprometer un archivo de configuración es funcionalmente equivalente a comprometer las instrucciones de la IA sin explotar ninguna vulnerabilidad técnica. Esto convierte la integridad de los archivos de configuración en un control de gobernanza, no solo de seguridad, y los marcos de clasificación de datos existentes deben cubrir explícitamente los artefactos de configuración de herramientas de IA.

Contratistas de defensa que manejan CUI bajo CMMC, organizaciones tecnológicas de salud con acceso a PHI y empresas aeroespaciales y de defensa que gestionan datos técnicos controlados por ITAR enfrentan la exposición más directa. El Pronóstico Kiteworks 2026 encontró que el 63% de las organizaciones no puede imponer limitaciones de propósito a los agentes de IA, el control específico que contiene ataques tipo TrapDoor cuando el compromiso de la cadena de suministro tiene éxito.

El acceso autenticado de una herramienta de codificación con IA a un entorno de desarrollo no se traduce automáticamente en acceso de lectura a cualquier archivo o tipo de dato. Las políticas de acceso definen explícitamente a qué contenido puede llegar la IA, los controles de salida definen qué datos pueden salir del entorno y las conexiones salientes anómalas generan alertas en lugar de exfiltración exitosa. Secure MCP Server aplica esto en la capa de datos independientemente de si la configuración de la herramienta de IA ha sido modificada por un atacante.

TrapDoor es coherente con una escalada documentada: el Informe Global de Amenazas CrowdStrike 2026 registra un aumento de 3 veces en ataques a la cadena de suministro de IA desde 2022. El patrón: apuntar a la cadena de herramientas de desarrollo, donde los controles históricamente son más débiles que en los perímetros empresariales. La gobernanza en la capa de datos, con controles de acceso explícitos, monitoreo de salida y registros de auditoría inalterables, hace que esta clase de ataques sea contenible sin importar qué registro de paquetes o archivo de configuración sea el próximo punto de entrada.

Recursos adicionales

  • Artículo del Blog
    Estrategias de confianza cero para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones está fallando en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juegan a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks