Cuando las buenas herramientas se vuelven malas: envenenamiento de las herramientas de IA y cómo evitar que tu IA actúe como agente doble.

El desarrollo asistido por IA (o, en su versión más actual, el «vibe coding») tiene un efecto transformador considerable en la creación de código. Los desarrolladores experimentados están adoptando estas herramientas en masa, y aquellos de nosotros que siempre hemos querido crear nuestro propio software, pero que no tenemos la experiencia necesaria, también las estamos aprovechando para crear activos que antes habrían sido prohibitivos en términos de coste y tiempo. Aunque esta tecnología promete inaugurar una nueva era de innovación, introduce toda una serie de nuevas vulnerabilidades y perfiles de riesgo que los responsables de la seguridad tienen dificultades para mitigar.

Un descubrimiento reciente de InvariantLabs ha revelado una vulnerabilidad crítica en el Model Context Protocol (MCP), un marco de trabajo de tipo API que permite a potentes herramientas de IA interactuar de forma autónoma con otros programas y bases de datos, lo que da lugar a lo que se ha denominado «ataques por envenenamiento de herramientas », una nueva categoría de vulnerabilidad que podría resultar especialmente perjudicial para las empresas. Las principales herramientas de IA, como Windsurf y Cursor, no son inmunes, y con varios millones de usuarios, es fundamental la sensibilización y las competencias necesarias para gestionar este problema de seguridad emergente.

En la situación actual, el resultado de estas herramientas no es lo suficientemente seguro como para considerarlas aptas para su uso en empresas, tal y como se indica en un reciente artículo de investigación de Vineeth Sai Narajala e Idan Habler, investigadores de seguridad en AWS e Intuit: «A medida que los sistemas de IA se vuelven más autónomos y comienzan a interactuar directamente con herramientas externas y datos en tiempo real a través de herramientas como el MCP, se vuelve absolutamente esencial garantizar la seguridad de estas interacciones».

Los sistemas de IA agencial y el perfil de riesgo del Protocolo de Contexto del Modelo

El Model Context Protocol es un práctico software creado por Anthropic que permite una integración mejor y más fluida entre los agentes de IA LLM (Large Language Model) y otras herramientas. Se trata de un potente caso de uso que abre un mundo de posibilidades entre las aplicaciones propietarias y las herramientas SaaS críticas para la empresa, como GitHub, en interacción con soluciones de IA de vanguardia. Solo tiene que escribir un servidor MCP y empezar a definir las directrices sobre cómo desea que funcione y con qué fin.

Las implicaciones de la tecnología MCP en materia de seguridad son, en realidad, esencialmente positivas. La promesa de una integración más directa entre los LLM y la tecnología utilizada por los profesionales de la seguridad es demasiado tentadora como para ignorarla, y representa la posibilidad de una automatización precisa de las tareas de seguridad a niveles antes imposibles, al menos sin escribir e implementar código personalizado, generalmente para cada tarea. La mejora de la interoperabilidad de los LLM que ofrece MCP representa una perspectiva interesante para la seguridad de las empresas, ya que una visibilidad y conectividad ampliadas entre los datos, las herramientas y el personal son esenciales para una defensa y una planificación eficaces de la seguridad.

Sin embargo, el uso del MCP puede introducir otros posibles vectores de amenazas, ampliando considerablemente la superficie de ataque de las empresas si no se gestiona con cuidado. Como ha señalado Laboratoires invariants, los ataques por envenenamiento de herramientas constituyen una nueva categoría de vulnerabilidad que puede dar lugar a la filtración de datos sensibles y a acciones no autorizadas por parte de modelos de IA. A partir de ahí, las implicaciones en materia de seguridad se difuminan muy rápidamente.

InvariantLabs señala que un ataque de envenenamiento de herramientas es posible cuando se integran instrucciones maliciosas en las descripciones de las herramientas MCP que no son visibles para los usuarios, pero que son totalmente legibles (y ejecutables) por los modelos de IA. Esto incita a la herramienta a realizar acciones maliciosas no autorizadas sin el conocimiento del usuario. El problema radica en la hipótesis del MCP de que todas las descripciones de las herramientas son fiables, lo que es música para los actores maliciosos.

Señalan las posibles consecuencias de una herramienta comprometida:

• Dirigir los modelos de IA para acceder a archivos confidenciales (como claves SSH, archivos de configuración, bases de datos, etc.).
• Solicitar a la IA que extraiga y transmita estos datos, en un entorno en el que estas acciones maliciosas están intrínsecamente ocultas al usuario no informado.
• Cree una diferencia entre lo que ve el usuario y lo que hace el modelo de IA ocultándose tras representaciones de interfaz de usuario de una simplicidad engañosa de los argumentos y los resultados de las herramientas.

Se trata de una categoría de vulnerabilidad emergente preocupante, que sin duda veremos cada vez con más frecuencia a medida que continúe el inevitable crecimiento del uso de los MCP. Será necesario tomar medidas minuciosas para detectar y mitigar esta amenaza a medida que evolucionen los programas de seguridad de la empresa, y es esencial preparar adecuadamente a los desarrolladores para que participen en la solución.

¿Por qué solo los desarrolladores competentes en materia de seguridad deberían aprovechar las herramientas de IA agentiques?

Las herramientas de codificación de Agentic AI se consideran la próxima evolución de la codificación asistida por IA, ya que refuerzan su capacidad para ofrecer una mayor eficiencia, productividad y flexibilidad en el desarrollo de software. Su mayor capacidad para comprender el contexto y las intenciones las hace especialmente útiles, pero no son inmunes a amenazas como las inyecciones rápidas, las alucinaciones o la manipulación del comportamiento por parte de los atacantes.

Los desarrolladores constituyen la línea de defensa entre las validaciones correctas e incorrectas del código, y será fundamental mantener tanto las competencias en materia de seguridad como el pensamiento crítico en el futuro del desarrollo de software seguro.

Los resultados de la IA nunca deben implementarse con una confianza ciega, y son los desarrolladores con experiencia en seguridad que aplican un pensamiento contextual y crítico los que pueden aprovechar de forma segura las ganancias de productividad que ofrece esta tecnología. No obstante, debe tratarse de un entorno de programación en pareja, en el que el experto humano sea capaz de evaluar y modelar las amenazas y, en última instancia, aprobar el trabajo realizado por la herramienta.

Descubra cómo los desarrolladores pueden mejorar sus habilidades y aumentar su productividad gracias a la IA aquí.

Técnicas prácticas de mitigación y lecturas complementarias en nuestro último artículo de investigación.

Las herramientas de codificación basadas en la IA y la tecnología MCP están llamadas a desempeñar un papel importante en el futuro de la ciberseguridad, pero es fundamental no lanzarnos a ellas sin antes comprobar el terreno.

Narajala y Habler papier detallan las estrategias de mitigación completas para la implementación del MCP a nivel empresarial y la gestión continua de sus riesgos. En última instancia, se centra en los principios de defensa en profundidad y confianza cero, apuntando explícitamente al perfil de riesgo único que este nuevo ecosistema aporta a un entorno empresarial. Para los desarrolladores en particular, es esencial colmar las lagunas de conocimiento en los siguientes ámbitos:

• Autenticación y control de acceso: Las herramientas de IA agencial permiten resolver problemas y tomar decisiones autónomas para alcanzar los objetivos que se les han fijado, de la misma manera que un humano abordaría las tareas de ingeniería. Sin embargo, como hemos establecido, no se puede ignorar la supervisión humana cualificada de estos procesos, y los desarrolladores que utilizan estas herramientas en sus flujos de trabajo deben comprender exactamente qué accesos tienen, qué datos recuperan o pueden exponer, y dónde se pueden compartir.
• Detección y mitigación generales de amenazas: al igual que ocurre con la mayoría de los procesos de IA, para detectar posibles fallos e inexactitudes en los resultados de la herramienta, el usuario debe dominar la tarea por sí mismo. Los desarrolladores deben beneficiarse de una actualización y verificación continuas de estas competencias para revisar eficazmente los procesos de seguridad y examinar el código generado por la IA con precisión y autoridad en materia de seguridad.
• Armonización con la política de seguridad y la gobernanza de la IA: Los desarrolladores deben estar informados sobre las herramientas aprobadas y tener la posibilidad de mejorar sus competencias y acceder a ellas. Tanto el desarrollador como la herramienta deben someterse a un análisis comparativo de seguridad antes de que se aprueben las confirmaciones.

Recientemente hemos publicado un documento de investigación sobre la aparición de la codificación por vibración y la codificación asistida por IA, y sobre las medidas que deben tomar las empresas para formar a la próxima generación de ingenieros de software impulsados por la IA. Descúbralo y póngase en contacto con nosotros para reforzar su equipo de desarrollo hoy mismo.