A medida que los copilotos y asistentes de IA se integran en el trabajo diario, los equipos de seguridad todavía se centran en proteger los propios modelos. Pero incidentes recientes sugieren que el mayor riesgo está en otra parte: en los flujos de trabajo que rodean a esos modelos.
Recientemente se descubrió que dos extensiones de Chrome que se hacían pasar por ayudantes de IA robaban datos de chat de ChatGPT y DeepSeek de más de 900.000 usuarios. Por otra parte, los investigadores demostraron cómo las inyecciones rápidas ocultas en los repositorios de código podrían engañar al asistente de codificación de inteligencia artificial de IBM para que ejecutara malware en la máquina de un desarrollador.
Ninguno de los ataques rompió los propios algoritmos de IA.
Explotaron el contexto en el que opera la IA. Ése es el patrón al que vale la pena prestar atención. Cuando los sistemas de inteligencia artificial están integrados en procesos comerciales reales, resumiendo documentos, redactando correos electrónicos y extrayendo datos de herramientas internas, proteger el modelo por sí solo no es suficiente. El propio flujo de trabajo se convierte en el objetivo.
Los modelos de IA se están convirtiendo en motores de flujo de trabajo
Para comprender por qué esto es importante, considere cómo se utiliza realmente la IA en la actualidad:
Las empresas ahora confían en él para conectar aplicaciones y automatizar tareas que antes se hacían a mano. Un asistente de redacción de IA podría extraer un documento confidencial de SharePoint y resumirlo en un borrador de correo electrónico. Un chatbot de ventas podría hacer referencias cruzadas de registros internos de CRM para responder la pregunta de un cliente. Cada uno de estos escenarios desdibuja los límites entre aplicaciones, creando nuevas vías de integración sobre la marcha.
Lo que hace que esto sea riesgoso es cómo operan los agentes de IA. Se basan en una toma de decisiones probabilística en lugar de reglas codificadas, generando resultados basados en patrones y contexto. Una entrada cuidadosamente escrita puede empujar a una IA a hacer algo que sus diseñadores nunca pretendieron, y la IA cumplirá porque no tiene un concepto nativo de límites de confianza.
Esto significa que la superficie de ataque incluye cada entrada, salida y punto de integración que toca el modelo.
Hackear el código del modelo se vuelve innecesario cuando un adversario puede simplemente manipular el contexto que ve el modelo o los canales que utiliza. Los incidentes descritos anteriormente ilustran esto: las inyecciones rápidas ocultas en los repositorios secuestran el comportamiento de la IA durante las tareas rutinarias, mientras que las extensiones maliciosas extraen datos de las conversaciones de la IA sin siquiera tocar el modelo.
Por qué los controles de seguridad tradicionales se quedan cortos
Estas amenazas al flujo de trabajo exponen un punto ciego en la seguridad tradicional. La mayoría de las defensas heredadas se crearon para software determinista, roles de usuario estables y perímetros claros. Los flujos de trabajo impulsados por IA rompen los tres supuestos.
- La mayoría de las aplicaciones generales distinguen entre código confiable y entrada que no es confiable. Los modelos de IA no. Para ellos, todo es solo texto, por lo que una instrucción maliciosa oculta en un PDF no se diferencia de un comando legítimo. La validación de entrada tradicional no ayuda porque la carga útil no es un código malicioso. Es sólo lenguaje natural.
- El monitoreo tradicional detecta anomalías obvias como descargas masivas o inicios de sesión sospechosos. Pero una IA que lee mil registros como parte de una consulta de rutina parece un tráfico normal de servicio a servicio. Si esos datos se resumen y se envían a un atacante, técnicamente no se infringe ninguna regla.
- La mayoría de las políticas de seguridad generales especifican lo que está permitido o bloqueado: no permitir que este usuario acceda a ese archivo, bloquear el tráfico a este servidor. Pero el comportamiento de la IA depende del contexto. ¿Cómo se escribe una regla que dice «nunca revelar datos del cliente en la salida»?
- Los programas de seguridad se basan en revisiones periódicas y configuraciones fijas, como auditorías trimestrales o reglas de firewall. Los flujos de trabajo de IA no permanecen estáticos. Una integración puede obtener nuevas capacidades después de una actualización o conectarse a una nueva fuente de datos. Para cuando se realice una revisión trimestral, es posible que ya se haya filtrado un token.
Proteger los flujos de trabajo impulsados por la IA
Entonces, un mejor enfoque para todo esto sería tratar todo el flujo de trabajo como lo que se está protegiendo, no solo el modelo.
- Comience por comprender dónde se utiliza realmente la IA, desde herramientas oficiales como Microsoft 365 Copilot hasta extensiones de navegador que los empleados pueden haber instalado por su cuenta. Conoce a qué datos puede acceder cada sistema y qué acciones puede realizar. Muchas organizaciones se sorprenden al encontrar docenas de servicios de IA en la sombra ejecutándose en toda la empresa.
- Si un asistente de IA está destinado únicamente a resúmenes internos, restrinja el envío de correos electrónicos externos. Escanee las salidas en busca de datos confidenciales antes de que abandonen su entorno. Estas barreras de seguridad deberían estar fuera del modelo mismo, en un middleware que verifique las acciones antes de que salgan.
- Trate a los agentes de IA como cualquier otro usuario o servicio. Si una IA solo necesita acceso de lectura a un sistema, no le dé acceso general a todo. Limite los tokens de OAuth a los permisos mínimos requeridos y supervise anomalías, como que una IA acceda repentinamente a datos que nunca antes había tocado.
- Finalmente, también es útil para educar a los usuarios sobre los riesgos de las extensiones de navegador no revisadas o de copiar mensajes de fuentes desconocidas. Examine los complementos de terceros antes de implementarlos y trate cualquier herramienta que toque entradas o salidas de IA como parte del perímetro de seguridad.
Cómo pueden ayudar plataformas como Reco
En la práctica, hacer todo esto manualmente no escala. Por eso está surgiendo una nueva categoría de herramientas: plataformas de seguridad dinámicas SaaS. Estas plataformas actúan como una capa de protección en tiempo real sobre los flujos de trabajo impulsados por IA, aprendiendo cómo es el comportamiento normal y señalando anomalías cuando ocurren.
Reco es un ejemplo destacado.
 |
| Figura 1: Descubrimiento de aplicaciones de IA generativa de Reco |
Como se muestra arriba, la plataforma brinda a los equipos de seguridad visibilidad sobre el uso de la IA en toda la organización, mostrando qué aplicaciones de IA generativa están en uso y cómo están conectadas. A partir de ahí, puede aplicar barreras de seguridad a nivel del flujo de trabajo, detectar comportamientos riesgosos en tiempo real y mantener el control sin ralentizar el negocio.
Solicite una demostración: comience con Reco.