A medida que las organizaciones integran la inteligencia artificial en todos sus sistemas, la superficie de ataque se extiende más allá de cloud tradicionales de TI y cloud . MITRE ATLAS documenta escenarios de ataque específicos de la inteligencia artificial, comportamientos de los atacantes observados en la práctica y medidas de mitigación para entornos que utilizan inteligencia artificial.
¿Qué es el marco ATLAS de MITRE?
MITRE ATLAS (Panorama de amenazas adversarias para sistemas de inteligencia artificial) es una base de datos dinámica y de acceso público que recopila las tácticas y técnicas de los atacantes dirigidas a los sistemas basados en inteligencia artificial. Siguiendo el modelo del marco MITRE ATT&CK®, ampliamente adoptado, ATLAS está diseñado específicamente para las amenazas, vulnerabilidades y riesgos propios de las tecnologías de inteligencia artificial.
ATLAS es un recurso comisariado basado en:
- Observaciones sobre ataques en el mundo real
- Demostraciones del equipo rojo de IA
- Investigación en materia de seguridad en los ámbitos gubernamental, industrial y académico
Capta la forma en que los adversarios atacan a la IA y a los sistemas de aprendizaje automático, incluidos los comportamientos, las técnicas y las herramientas específicas o adaptadas a contextos de IA.
Del armamentismo al abuso de las infraestructuras: un cambio en el enfoque de los atacantes
La inmensa mayoría de las actividades implican a actores de amenazas que utilizan IA generativa para acelerar sus campañas mediante tareas como:
- Redacción de correos electrónicos phishing o guiones de ingeniería social
- Investigación de vulnerabilidades o técnicas
- Resolución de problemas malware o desarrollo de herramientas
- Generación de contenido para estafas o identidades falsas Pero un patrón más preocupante está llamando la atención: los atacantes están utilizando tácticas en evolución en las que la explotación de recursos LLM cloud-como AWS Bedrock y Azure AI Foundry- se haconvertido en un vector creciente de beneficios y abusos.

Los LLM públicos pueden generar texto o ayudar con secuencias de comandos, pero los modelos cloud están profundamente integrados en flujos de trabajo empresariales de alto valor. Estos sistemas ofrecen a los adversarios acceso a sistemas informáticos, datos confidenciales y entornos de ejecución de confianza.

¿Por qué atacar la IA cloud en lugar de los modelos gratuitos y de código abierto?
Las plataformas Cloud como AWS Bedrock y Azure AI Foundry son objetivos atractivos porque:
- Exponer la infraestructura multi-tenant: Una vulnerabilidad en componentes compartidos puede afectar a varios clientes.
- Proporcionar acceso a datos confidenciales de la empresa: Especialmente cuando se vincula a flujos de trabajo RAG (retrieval-augmented generation), que mejoran las respuestas LLM recuperando e inyectando datos empresariales de fuentes de conocimiento conectadas.
- Permitir el abuso de confianza y las integraciones de identidad: Las identidades Cloud y los roles de IAM pueden aprovecharse para la escalada de privilegios o el movimiento lateral.
- Su funcionamiento cuesta dinero: Los atacantes pueden aprovecharse de ello secuestrando recursos informáticos (LLMjacking).
Abusar de estas plataformas permite a los adversarios operar con mayor sigilo y rentabilidad en comparación con el uso de API públicas o de código abierto.
Por qué los adversarios atacan la infraestructura de IA Generativa
Los atacantes que se centran en los servicios de IA generativa cloud persiguen tres objetivos principales: el lucro económico, la sustracción de datos y la intención de causar daños. Su éxito depende en gran medida de cómo consigan el acceso inicial a la infraestructura de la empresa.
1. Beneficios financieros
Los atacantes pueden intentar secuestrar cuentas de empresa o explotar infraestructuras mal configuradas para ejecutar trabajos de inferencia no autorizados, una táctica conocida como LLMjacking. También pueden abusar de los servicios de IA cloud para obtener computación gratuita o acceso a modelos monetizados.
2. Exfiltración
Los atacantes más sofisticados pretenden extraer modelos propios, datos de entrenamiento o documentos empresariales confidenciales a los que se accede a través de sistemas RAG (generación aumentada por recuperación). Las API de inferencia también pueden ser objeto de uso indebido para filtrar datos de forma continuada.
3. Destrucción
Algunos actores intentan degradar el rendimiento o la disponibilidad del sistema lanzando ataques de denegación de servicio, envenenando los conductos de formación o corrompiendo los resultados de los modelos.

Aunque el uso indebido de los LLM públicos permite cierta actividad de los atacantes, las ventajas estratégicas de dirigirse a la infraestructura GenAI empresarial (acceso a datos, escalabilidad y explotación de la confianza) lo convierten en un vector más atractivo e impactante.
Cómo le ayuda MITRE ATLAS a comprender y cartografiar estas amenazas
MITRE ATLAS proporciona una visión estructurada de las tácticas y técnicas del mundo real utilizadas contra los sistemas de IA, que se corresponden directamente con los riesgos observados en plataformas como AWS Bedrock, Azure AI y otros servicios GenAI gestionados.
ATLAS cubre una amplia gama de técnicas más allá de las relacionadas con la infraestructura de IAcloud, incluyendo el reconocimiento de modelos de IA, el envenenamiento de modelos o conjuntos de datos de código abierto, el compromiso de plugins LLM, y muchas otras.
He aquí algunos ejemplos de técnicas específicas que un actor de amenazas podría aprovechar en el proceso de ataque a la infraestructura de IAcloud:
Acceso inicial
- Cuentas válidas (AML.T0012): Los agresores suelen adquirir credenciales legítimas a través de campañas de phishing , relleno de credenciales o violaciones de la cadena de suministro.
- Explotación de aplicaciones de cara al público (AML.T0049): Los puntos finales mal protegidos o expuestos (por ejemplo, asistentes RAG o API) se pueden utilizar para obtener puntos de apoyo iniciales en los sistemas GenAI.

Acceso al modelo AI
- Acceso a la API de inferencia de modelos de IA (AML.T0040): Obtener acceso directo a las API de inferencia para ejecutar consultas o cargas de trabajo no autorizadas.
- Producto o servicio basado en IA (AML.T0047): Dirigido a software empresarial integrado con GenAI para manipular resultados o extraer datos internos.
Ejecución
- Prompt Injection para modelos de lenguaje grande Prompt Injection (AML.T0051): Inyección de entradas maliciosas que eluden las medidas de seguridad o la lógica, especialmente en sistemas RAG o integrados en flujos de trabajo.
Escalada de privilegios/evasión de la defensa
- LLM Jailbreak (AML.T0054): Eludir los controles del modelo para desbloquear funciones restringidas o generar contenido dañino.

Descubrimiento
- Familia de modelos Discover AI (AML.T0014): Identificar la arquitectura del modelo o las características del proveedor para adaptar los ataques.
- Descubrir artefactos de IA (AML.T0007): Localizar registros, historiales de solicitudes o conjuntos de datos que revelen el funcionamiento interno del sistema.

Recogida y exfiltración
- Datos de repositorios de información (AML.T0036): Recoger datos estructurados/no estructurados recuperados a través del GAR o integrados en servicios de IA.
- Exfiltración a través de la API de inferencia de IA (AML.T0024): Extrae datos lentamente abusando de la capa de inferencia.
- Fuga de datos LLM (AML.T0057): Provoca fugas de datos involuntarias mediante consultas cuidadosamente diseñadas.
Impacto
- Denegación de servicio de IA (AML.T0029): Sobrecarga o interrumpe los puntos finales de IA para degradar la disponibilidad.
- Daños externos (AML.T0048): Causar daños financieros, de reputación, legales o físicos abusando de los sistemas de IA o manipulando los resultados de la IA en aplicaciones críticas.

Estas técnicas ilustran cómo los atacantes explotan cada capa de la infraestructura de IA: acceso, ejecución, datos e impacto. MITRE ATLAS proporciona el mapeo necesario para que los equipos de los SOC prioricen las detecciones, validen las defensas y realicen equipos rojos eficaces en los entornos de IA de las empresas.
Correspondencia de Vectra AI con MITRE ATLAS
Vectra etiqueta sus detecciones con los identificadores de técnicas de MITRE ATLAS. En el caso de las técnicas cloud mencionadas anteriormente, esto implica identificar:
- Usuarios que acceden a servicios de GenAI, como AWS Bedrock, de una forma que se desvía de su patrón habitual
- Intentos de desactivar el registro de datos o de eludir de cualquier otra forma la investigación sobre el uso indebido de la IA generativa
- El uso de modelos que concuerda con un agente de priorización cloud comprometidas. Vectra también eleva la puntuación de riesgo de las identidades vinculadas a accesos sospechosos y a la activación de modelos de IA generativa, de modo que estos casos pasan a ocupar un lugar más destacado en la lista de tareas pendientes del analista.
Las soluciones de detección cloud de identidades Vectra AI funcionan sin agentes, lo que les permite cubrir la actividad de la IA generativa en entornos cloud híbrida cloud SaaS.
Visión general de nuestra visibilidad actual de las técnicas y subtécnicas definidas en el marco ATLAS de MITRE (publicado el 17 de marzo de 2025).
La IA generativa ya no es solo una herramienta en manos de los atacantes. Ahora es un objetivo en sí misma y, a medida que aumente su adopción en las empresas, los ataques contra ella seguirán evolucionando. Marcos de trabajo como MITRE ATLAS ofrecen a los equipos de seguridad una forma común de mapear esos ataques, priorizar las detecciones y poner a prueba sus defensas.


