Seguridad de los despliegues de IA Cloud : Perspectivas de MITRE ATLAS y la necesidad de un CDR impulsado por la IA

16 de mayo de 2025

Seguridad de los despliegues de IA Cloud : Perspectivas de MITRE ATLAS y la necesidad de un CDR impulsado por la IA

A medida que las organizaciones integran la IA en los sistemas de misión crítica, la superficie de ataque crece más allá de los entornos tradicionales de TI y cloud . ATLAS llena este vacío documentando escenarios de ataque específicos para la IA, comportamientos reales de los adversarios y estrategias de mitigación adaptadas a entornos con IA.

¿Qué es el marco ATLAS de MITRE?

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) es una base de conocimientos viva y de acceso público que cataloga las tácticas y técnicas de los adversarios dirigidas a los sistemas basados en IA. Siguiendo el modelo del ampliamente adoptado marco ATT&CK® de MITRE, ATLAS está adaptado a las amenazas, vulnerabilidades y riesgos únicos que plantean las tecnologías de inteligencia artificial.

ATLAS es un recurso comisariado basado en:

Observaciones sobre ataques en el mundo real
Demostraciones del equipo rojo de IA
Investigación en materia de seguridad en los ámbitos gubernamental, industrial y académico

Capta la forma en que los adversarios atacan a la IA y a los sistemas de aprendizaje automático, incluidos los comportamientos, las técnicas y las herramientas específicas o adaptadas a contextos de IA.

Del armamentismo al abuso de las infraestructuras: un cambio en el enfoque de los atacantes

La inmensa mayoría de las actividades implican a actores de amenazas que utilizan IA generativa para acelerar sus campañas mediante tareas como:

Redacción de correos electrónicos phishing o guiones de ingeniería social
Investigación de vulnerabilidades o técnicas
Resolución de problemas malware o desarrollo de herramientas
Generación de contenido para estafas o identidades falsas Pero un patrón más preocupante está llamando la atención: los atacantes están utilizando tácticas en evolución en las que la explotación de recursos LLM cloud-como AWS Bedrock y Azure AI Foundry- se haconvertido en un vector creciente de beneficios y abusos.

AWS Bedrock — Figura: Amazon Bedrock es un servicio que ayuda a los usuarios a crear y escalar aplicaciones de IA generativa. Se trata de un servicio totalmente administrado que admite el despliegue de modelos fundacionales de Anthropic, Meta y otros.

Los LLM públicos pueden generar texto o ayudar con secuencias de comandos, pero los modelos cloud están profundamente integrados en flujos de trabajo empresariales de alto valor. Estos sistemas ofrecen a los adversarios acceso a sistemas informáticos, datos confidenciales y entornos de ejecución de confianza.

Meme que ilustra el hecho de que los atacantes prefieren abusar de GenAI cloud en lugar de utilizar GenAI para uso genérico.

¿Por qué atacar la IA cloud en lugar de los modelos gratuitos y de código abierto?

Las plataformas Cloud como AWS Bedrock y Azure AI Foundry son objetivos atractivos porque:

Exponer la infraestructura multi-tenant: Una vulnerabilidad en componentes compartidos puede afectar a varios clientes.
Proporcionar acceso a datos confidenciales de la empresa: Especialmente cuando se vincula a flujos de trabajo RAG (retrieval-augmented generation), que mejoran las respuestas LLM recuperando e inyectando datos empresariales de fuentes de conocimiento conectadas.
Permitir el abuso de confianza y las integraciones de identidad: Las identidades Cloud y los roles de IAM pueden aprovecharse para la escalada de privilegios o el movimiento lateral.
Su funcionamiento cuesta dinero: Los atacantes pueden aprovecharse de ello secuestrando recursos informáticos (LLMjacking).

Abusar de estas plataformas permite a los adversarios operar con mayor sigilo y rentabilidad en comparación con el uso de API públicas o de código abierto.

Por qué los adversarios atacan la infraestructura de IA Generativa

Los atacantes que atacan los servicios GenAI cloud están motivados por tres objetivos principales: beneficios económicos, filtración de datos e intenciones destructivas. Su éxito depende en gran medida de cómo obtengan el acceso inicial a la infraestructura de la empresa.

1. Beneficios financieros

Los atacantes pueden intentar secuestrar cuentas de empresa o explotar infraestructuras mal configuradas para ejecutar trabajos de inferencia no autorizados, una táctica conocida como LLMjacking. También pueden abusar de los servicios de IA cloud para obtener computación gratuita o acceso a modelos monetizados.

2. Exfiltración

Los adversarios más sofisticados pretenden extraer modelos propios, datos de entrenamiento o documentos confidenciales de la empresa a los que se accede a través de sistemas RAG (retrieval-augmented generation). También se puede abusar de las API de inferencia para filtrar datos a lo largo del tiempo.

3. Destrucción

Algunos actores intentan degradar el rendimiento o la disponibilidad del sistema lanzando ataques de denegación de servicio, envenenando los conductos de formación o corrompiendo los resultados de los modelos.

Aunque el uso indebido de los LLM públicos permite cierta actividad de los atacantes, las ventajas estratégicas de dirigirse a la infraestructura GenAI empresarial -acceso a los datos, escalabilidad y explotación de la confianza- lo convierten en un vector más atractivo e impactante.

Cómo le ayuda MITRE ATLAS a comprender y cartografiar estas amenazas

MITRE ATLAS proporciona una visión estructurada de las tácticas y técnicas del mundo real utilizadas contra los sistemas de IA, que se corresponden directamente con los riesgos observados en plataformas como AWS Bedrock, Azure AI y otros servicios GenAI gestionados.

ATLAS cubre una amplia gama de técnicas más allá de las relacionadas con la infraestructura de IA cloud, incluyendo el reconocimiento de modelos de IA, el envenenamiento de modelos o conjuntos de datos de código abierto, el compromiso de plugins LLM, y muchas otras.

He aquí algunos ejemplos de técnicas específicas que un actor de amenazas podría aprovechar en el proceso de ataque a la infraestructura de IA cloud:

Acceso inicial

Cuentas válidas (AML.T0012): Los agresores suelen adquirir credenciales legítimas a través de campañas de phishing , relleno de credenciales o violaciones de la cadena de suministro.
Explotar aplicaciones de cara al público (AML.T0049): Los puntos finales mal protegidos o expuestos (por ejemplo, asistentes RAG o API) se pueden utilizar para obtener puntos de apoyo iniciales en los sistemas GenAI.

Figura: Ecosistema Dark Web para LLMjacking - Las cuentas comprometidas y las claves IAM de AWS se venden a través de servicios clandestinos, lo que permite a los consumidores ejecutar cargas de trabajo de inferencia no remuneradas en LLM cloud.

Acceso al modelo AI

Acceso a la API de inferencia de modelos AI (AML.T0040): Obtener acceso directo a las API de inferencia para ejecutar consultas o cargas de trabajo no autorizadas.
Producto o servicio basado en IA (AML.T0047): Dirigido a software empresarial integrado con GenAI para manipular resultados o extraer datos internos.

Ejecución

Inyección LLM Prompt (AML.T0051): Inyección de entradas maliciosas que subvierten los guardarraíles o la lógica, especialmente en sistemas RAG o integrados en flujos de trabajo.

Escalada de privilegios/evasión de la defensa

LLM Jailbreak (AML.T0054): Eludir los controles del modelo para desbloquear funciones restringidas o generar contenido dañino.

Una vez que el reconocimiento confirma los modelos LLM activados, desactivan el registro de solicitudes para ocultar su rastro. Al desactivar el registro, impiden que el sistema registre sus peticiones ilícitas, lo que dificulta la detección de lo que están haciendo con los modelos secuestrados. — Figura: Una vez que el reconocimiento confirma los modelos LLM activados, desactivan el registro de solicitudes para ocultar su rastro. Al desactivar el registro, impiden que el sistema registre sus peticiones ilícitas, lo que dificulta detectar lo que están haciendo con los modelos secuestrados.

Descubrimiento

Descubrir la familia de modelos AI (AML.T0014): Identificar la arquitectura del modelo o las características del proveedor para adaptar los ataques.
Descubrir artefactos de IA (AML.T0007): Localizar registros, historiales de solicitudes o conjuntos de datos que revelen el funcionamiento interno del sistema.

Flujo de ataque para la activación no autorizada de modelos - Una vez dentro de un entorno cloud utilizando claves IAM comprometidas, los adversarios realizan un reconocimiento para descubrir modelos fundacionales, activarlos e iniciar la inferencia, lo que conlleva costes y riesgos para la víctima. — Figura: Flujo de ataque para la activación no autorizada de modelos - Una vez dentro de un entorno cloud nube utilizando claves IAM comprometidas, los adversarios realizan un reconocimiento para descubrir modelos fundacionales, activarlos e iniciar la inferencia, lo que conlleva costes y riesgos para la víctima.

Recogida y exfiltración

Datos de repositorios de información (AML.T0036): Recoger datos estructurados/no estructurados recuperados a través del GAR o integrados en servicios de IA.
Exfiltración a través de AI Inference API (AML.T0024): Extrae datos lentamente abusando de la capa de inferencia.
Fuga de datos LLM (AML.T0057): Provoca fugas de datos involuntarias mediante consultas cuidadosamente diseñadas.

Impacto

Denegación de servicio de IA (AML.T0029): Sobrecarga o interrumpe los puntos finales de IA para degradar la disponibilidad.
Daños externos (AML.T0048): Causar daños financieros, de reputación, legales o físicos abusando de los sistemas de IA o manipulando los resultados de la IA en aplicaciones críticas.

atacante que explota credenciales IAM robadas — Figura: Aquí un atacante comienza de nuevo explotando credenciales IAM robadas, seguido de reconocimiento. A continuación, el atacante puede comprobar si existen barreras de seguridad para los modelos habilitados. Si el atacante tiene suficientes permisos, puede incluso manipular los guardrails y hacer que el modelo sea más explotable, especialmente los personalizados.

Estas técnicas ilustran cómo los atacantes explotan cada capa de la infraestructura de IA: acceso, ejecución, datos e impacto. MITRE ATLAS proporciona el mapeo necesario para que los equipos de los SOC prioricen las detecciones, validen las defensas y establezcan equipos rojos eficaces en los entornos de IA de las empresas.

Correspondencia de Vectra AI con MITRE ATLAS

Vectra AI asigna su lógica de detección a MITRE ATLAS para ayudar a los equipos SOC a identificar:

Identidades que acceden sospechosamente a plataformas GenAI como AWS Bedrock y Azure AI Foundry.
Intentos de eludir las defensas y obstaculizar las investigaciones sobre abusos de GenAI
Uso anómalo de modelos GenAI coherente con el compromiso de cuentas cloud

Además de sacar a la luz estos comportamientos, el agente de priorización de IA de Vectra amplifica el enfoque de los analistas al elevar los perfiles de riesgo de las identidades asociadas con accesos sospechosos y habilitar los modelos GenAI. Dado que Vectra AI ofrece detección sin agentes y basada en identidades en entornos de cloud híbrida y SaaS, se encuentra en una posición única para detectar amenazas que las herramientas tradicionales podrían no detectar, especialmente en flujos de trabajo integrados con IA.

Asignación de Vectra AI al marco MITRE ATLAS — *Visión general de nuestra visibilidad actual de las técnicas y subtécnicas definidas en el marco ATLAS de MITRE (publicado el 17 de marzo de 2025).*

La narrativa está cambiando. La IA generativa ya no es sólo una herramienta en manos de los atacantes; ahora es un objetivo. Y a medida que aumente la adopción por parte de las empresas, también lo hará la sofisticación de estos ataques. Mediante el uso de marcos como MITRE ATLAS y el despliegue de soluciones como Vectra AI Platform, los equipos de seguridad pueden adelantarse a las amenazas en evolución y garantizar que la IA aporte valor sin comprometer la integridad.

¿Quiere saber más?

Vectra AI es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos