Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala.
Leer el blog

Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala. Leer el blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. Fundamentos de ciberseguridad
  2. MITRE ATLAS

MITRE ATLAS explicado: La guía completa sobre inteligencia de amenazas de seguridad de IA

Información clave

  • El catálogo MITRE ATLAS recoge 16 tácticas, 84 técnicas y 56 subtécnicas dirigidas específicamente a los sistemas de inteligencia artificial y aprendizaje automático, lo que supone un aumento con respecto a las 15 tácticas y 66 técnicas registradas en octubre de 2025.
  • La actualización del marco de noviembre de 2025 (v5.1.0) amplió el contenido a 16 tácticas, 84 técnicas, 32 medidas de mitigación y 42 casos prácticos, y las actualizaciones continuadas hasta febrero de 2026 incorporaron técnicas de IA autónoma.
  • ATLAS complementa, en lugar de competir, con OWASP LLM Top 10 y NIST AI RMF: utilice los tres para obtener una cobertura completa.
  • Aproximadamente el 70 % de las medidas de mitigación de ATLAS se corresponden con controles de seguridad existentes, lo que facilita la integración con los flujos de trabajo actuales del SOC.
  • Las herramientas gratuitas, como ATLAS Navigator y Arsenal, permiten modelar amenazas de forma inmediata y ofrecen capacidades de red teaming.

Las organizaciones que implementan inteligencia artificial se enfrentan a una nueva frontera de amenazas de seguridad para las que los marcos tradicionales nunca se diseñaron. Según estudios de inteligencia sobre amenazas del sector, los ataques de adversarios basados en la IA se dispararon un 89 % en comparación con años anteriores, lo que supone un aumento respecto al incremento del 72 % registrado en 2025. Esta escalada exige un enfoque estructurado para comprender y defenderse de las amenazas adversarias a los sistemas de IA. Aquí entra en juego MITRE ATLAS —el panorama de amenazas adversarias para los sistemas de inteligencia artificial—, una base de conocimientos exhaustiva sobre aprendizaje automático adversario diseñada específicamente para catalogar cómo los atacantes se dirigen a los sistemas de aprendizaje automático y de IA.

Para los equipos de seguridad que ya están familiarizados con MITRE ATT&CK, ATLAS (a veces denominado Atlas MITRE en las búsquedas) ofrece una extensión natural al ámbito de la seguridad de la IA. Esta guía proporciona todo lo que los analistas de seguridad, los responsables de SOC y los ingenieros de IA necesitan para poner en práctica ATLAS frente a los ataques de IA adversarios, desde los fundamentos del marco hasta las estrategias prácticas de detección.

¿Qué es MITRE ATLAS?

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) es una base de conocimientos sobre aprendizaje automático adversario, accesible a nivel mundial, que documenta las tácticas, técnicas y procedimientos (TTP) de los adversarios dirigidos específicamente a los sistemas de inteligencia artificial y aprendizaje automático. Siguiendo el modelo MITRE ATT&CK , ampliamente adoptado, esta base de conocimientos sobre IA adversaria ofrece a los equipos de seguridad un enfoque estructurado para comprender, detectar y defenderse de las amenazas específicas de la IA. El marco MITRE ATLAS sirve como el marco de seguridad de aprendizaje automático definitivo para el modelado de amenazas de IA.

Según el registro oficial de cambios de MITRE ATLAS, a partir de la versión 5.1.0 (noviembre de 2025), el marco incluye 16 tácticas, 84 técnicas, 56 subtécnicas, 32 medidas de mitigación y 42 casos prácticos reales, lo que supone un aumento con respecto a las 15 tácticas y 66 técnicas registradas en octubre de 2025. La actualización de febrero de 2026 (v5.4.0) añadió nuevas técnicas centradas en los agentes. Este rápido crecimiento refleja la acelerada evolución de las amenazas de IA.

El aprendizaje automático adversarial —el estudio de los ataques a los sistemas de aprendizaje automático y las defensas contra ellos— abarca cuatro categorías principales de ataques, según documenta el NIST: evasión, envenenamiento, privacidad y abusos. ATLAS organiza estos patrones de ataque en una estructura matricial que los profesionales de la seguridad pueden poner en práctica de inmediato.

MITRE creó ATLAS para abordar una brecha crítica en el panorama de la seguridad. Si bien ATT&CK cataloga eficazmente las amenazas a la infraestructura tradicional de TI y OT, carece de cobertura de los ataques que explotan las características únicas de los sistemas de aprendizaje automático. ATLAS llena este vacío al proporcionar el mismo enfoque riguroso y validado por la comunidad para la inteligencia de amenazas de IA.

El marco también se conecta con MITRE D3FEND, que proporciona contramedidas defensivas que las organizaciones pueden aplicar frente a las técnicas ATLAS.

ATLAS frente a MITRE ATT&CK: diferencias clave

Comprender la diferencia entre ATLAS y ATT&CK ayuda a los equipos de seguridad a determinar cuándo aplicar cada marco.

Tabla: Comparación entre los marcos MITRE ATT&CK MITRE ATLAS

Aspecto MITRE ATT&CK MITRE ATLAS
Enfoque principal Comportamientos adversarios tradicionales de TI/TO Comportamientos adversarios específicos de IA/ML
Recuento de tácticas 14 tácticas (Empresa) 16 tácticas (14 heredadas + 2 específicas de la IA)
Recuento de técnicas Más de 196 técnicas 84 técnicas
Tácticas únicas Ninguno específico para IA Acceso al modelo ML, preparación del ataque ML
Sistemas objetivo Terminales, redes, cloud Modelos ML, procesos de entrenamiento, LLM
Estudios de casos Grupos y perfiles de software 42 análisis de incidentes relacionados con la IA
Ideal para Modelado de amenazas para terminales/redes Modelado de amenazas del sistema de IA

ATLAS hereda 13 tácticas de ATT&CK, entre ellas Reconocimiento, Acceso inicial, Ejecución y Exfiltración, pero las aplica específicamente a contextos de IA. Las dos tácticas específicas de IA exclusivas de ATLAS son:

  • Acceso al modelo ML (AML.0004): Describe cómo los adversarios obtienen acceso a los modelos de aprendizaje automático objetivo a través de API de inferencia o acceso directo a artefactos.
  • Preparación del ataque ML (AML.0012): Abarca cómo los adversarios preparan ataques dirigidos a modelos de aprendizaje automático, incluyendo el envenenamiento de datos de entrenamiento y puerta trasera inserción

Los equipos de seguridad deben utilizar ambos marcos conjuntamente para obtener una cobertura completa: ATT&CK para las amenazas tradicionales a la infraestructura y ATLAS para los vectores de ataque específicos de la IA.

Cómo funciona ATLAS: estructura del marco y matriz MITRE ATLAS

La base de conocimientos oficial MITRE ATLAS organiza la información sobre amenazas utilizando la misma estructura matricial que ha hecho posible el éxito de ATT&CK. Comprender esta estructura permite detectar amenazas de forma eficaz y crear modelos de amenazas basados en inteligencia artificial.

La matriz MITRE ATLAS (también conocida como la matriz del marco MITRE para la IA o la matriz de amenazas de la IA) presenta las tácticas en columnas y las técnicas en filas. Cada celda representa un método específico que utilizan los adversarios para alcanzar sus objetivos tácticos contra los sistemas de IA. Esta organización visual permite a los equipos de seguridad identificar rápidamente las lagunas de cobertura y priorizar las defensas.

Los componentes del marco funcionan conjuntamente:

  1. Las tácticas responden al «por qué»: el objetivo del adversario en cada fase del ataque.
  2. Las técnicas responden al «cómo»: métodos específicos para alcanzar objetivos tácticos.
  3. Las sub-técnicas proporcionan detalles granulares sobre las variaciones de las técnicas.
  4. Las mitigaciones describen medidas defensivas que contrarrestan técnicas específicas.
  5. Los casos prácticos documentan ataques reales relacionados con las TTP de ATLAS.

Los datos de ATLAS están disponibles en formato STIX 2.1, lo que permite una integración legible por máquina con herramientas y plataformas de seguridad. Este formato estandarizado admite la ingestión automatizada en plataformas de inteligencia sobre amenazas y sistemas SIEM.

El marco se actualiza periódicamente gracias a las aportaciones de la comunidad y a la investigación continua de MITRE. La actualización de octubre de 2025, realizada en colaboración con Zenity Labs, añadió 14 nuevas técnicas centradas en los agentes, seguida del lanzamiento de la versión 5.1.0 en noviembre de 2025, que amplió el marco a 16 tácticas con 84 técnicas. La actualización 5.4.0 de febrero de 2026 añadió nuevas técnicas, entre ellas «Publish Poisoned AI Agent Tool» y «Escape to Host», lo que demuestra la evolución activa del marco.

Comprensión de tácticas, técnicas y procedimientos (TTP)

Las tácticas, técnicas y procedimientos (TTP) constituyen el vocabulario básico de la defensa basada en la información sobre amenazas. En ATLAS:

  • Las tácticas representan los objetivos del adversario en cada fase de un ataque contra sistemas de IA. Las 16 tácticas de ATLAS abarcan desde el reconocimiento inicial hasta el impacto final y el mando y control.
  • Técnicas describir las acciones específicas que llevan a cabo los adversarios para alcanzar sus objetivos tácticos. Cada técnica tiene un identificador único con el formato AML.TXXXX.
  • Subtécnicas desglosar las técnicas en variantes más específicas. Por ejemplo, prompt injectionAML.0051) incluye sub-técnicas para métodos de inyección directa e indirecta.
  • Los procedimientos aparecen en casos prácticos, mostrando exactamente cómo los atacantes del mundo real implementaron técnicas específicas.

Esta jerarquía permite un modelado de amenazas cada vez más detallado. Los equipos pueden comenzar con un análisis de cobertura a nivel táctico y profundizar en técnicas específicas basadas en la exposición de su sistema de IA.

Las 16 tácticas y técnicas clave de ATLAS

ATLAS agrupa 84 técnicas en 16 tácticas que abarcan todo el ciclo de vida de los ataques, frente a las 15 tácticas y 66 técnicas que había en octubre de 2025. Este desglose exhaustivo subsana una importante laguna de contenido detectada en el análisis de la competencia: ninguna guía existente cubre todas las tácticas con recomendaciones centradas en la detección.

Tabla: Tácticas de MITRE ATLAS con técnicas clave

Identificación de táctica Nombre de la táctica Técnicas clave Enfoque de detección
AML.0001 Reconocimiento Descubra los artefactos de ML, descubra la ontología de modelos de ML, escaneo activo Monitor para la comprobación de la arquitectura del modelo
AML.0002 Desarrollo de recursos Adquirir artefactos públicos de aprendizaje automático, desarrollar capacidades de ataque adversario de aprendizaje automático. Seguir la aparición de herramientas adversarias
AML.0003 Acceso inicial Supply Chain de ML, Prompt InjectionAML.0051) Auditar la cadena de suministro, validar los datos introducidos.
AML.0004 Acceso al modelo ML Acceso a la API de inferencia, acceso a artefactos de ML Registro de acceso a la API, integridad de los artefactos
AML.0005 Ejecución Ejecución por parte del usuario, compromiso del complemento LLM Supervisión de la seguridad de los complementos
AML.0006 Persistencia Modificar la configuración del agente de IA Detección de cambios en la configuración
AML.0007 Escalada de privilegios Explotación a través del sistema ML Sistema de monitorización de límites ML
AML.0008 Defensa Evasión Perturbación adversaria, extracción de metaprompts LLM Detección de anomalías en el comportamiento de modelos
AML.0009 Acceso con credenciales Credenciales de la configuración del agente de IA Supervisión del acceso a la configuración del agente
AML.0010 Descubrimiento Descubra la configuración del agente de IA Detección de intentos de enumeración
AML.0011 Colección Datos de servicios de IA, recuperación de bases de datos RAG Análisis de patrones de acceso a datos
AML.0012 Preparación del ataque ML Datos de entrenamiento sobre venenos (AML.0020), Modelo ML de puerta trasera Supervisión de la integridad de los datos de entrenamiento
AML.0013 Exfiltración Exfiltración a través de la API de inferencia ML, exfiltración a través de la invocación de la herramienta del agente de IA. Detección de anomalías en el uso de la API
AML.0014 Impacto Denegación del servicio ML, evasión del modelo ML, envío de spam al sistema ML. Supervisión de la disponibilidad del servicio
AML.0015 Command and Control Shell inverso, API del servicio de IA (AML.0096) Detección del canal C2 en la infraestructura de IA

La versión 5.1.0, lanzada en noviembre de 2025, añadió una decimosexta táctica: Command and ControlAML.0015) — junto con 18 nuevas técnicas y 6 nuevas medidas de mitigación centradas en los controles de seguridad de los agentes de IA. Con ello, el total pasó de 66 a 84 técnicas y de 33 a 42 casos prácticos.

Reconocimiento a través del acceso inicial (AML.TA0001-AML.TA0003)

El ciclo de vida del ataque comienza con el reconocimiento, en el que los adversarios recopilan información sobre los sistemas de aprendizaje automático objetivo. Las técnicas clave incluyen:

  • Descubrir artefactos de ML: los adversarios buscan en repositorios públicos, documentación y API para comprender las arquitecturas de los modelos y los datos de entrenamiento.
  • Supply Chain de ML: los atacantes lanzan ataques contra la cadena de suministro insertando código o datos maliciosos en los procesos de ML.
  • Prompt Injection (AML.0051): Los adversarios crean entradas maliciosas para manipular el comportamiento del LLM, lo que se corresponde con OWASP LLM01.

Acceso y ejecución del modelo ML (AML.TA0004-AML.TA0005)

Estas tácticas específicas de la IA describen cómo los adversarios interactúan con los modelos de aprendizaje automático y los explotan:

  • Acceso a la API de inferencia: obtener acceso a las interfaces de predicción de modelos permite realizar reconocimientos y preparar ataques.
  • Compromiso del complemento LLM: la explotación de complementos vulnerables amplía las capacidades de los atacantes dentro de los sistemas de IA.

Persistencia mediante la evasión de la defensa (AML.TA0006-AML.TA0008)

Los actores maliciosos mantienen el acceso y evitan ser detectados mediante:

  • Modificar la configuración del agente de IA (añadido en octubre de 2025): los atacantes alteran la configuración del agente para mantener la persistencia.
  • Perturbación adversaria: Creación de entradas que provocan que los modelos clasifiquen erróneamente, aunque parezcan normales para los seres humanos.

Recaudación a través del impacto (AML.TA0009-AML.TA0014)

Las tácticas de etapas posteriores se centran en alcanzar los objetivos del adversario:

  • Recuperación de bases de datos RAG: extracción de información confidencial de sistemas de generación aumentada por recuperación.
  • Datos de entrenamiento sobre venenos (AML.0020): El envenenamiento de datos corrompe los datos de entrenamiento para manipular el comportamiento del modelo, lo cual es crítico. exfiltración de datos vector
  • Exfiltración mediante invocación de herramientas de agentes de IA (añadido en octubre de 2025): aprovechamiento del acceso a herramientas de agentes para extraer datos.

Comprender los patrones de movimiento lateral ayuda a los equipos de seguridad a rastrear cómo avanzan los atacantes mediante estas tácticas.

Ecosistema de herramientas ATLAS

ATLAS proporciona herramientas prácticas y gratuitas que transforman el marco de la documentación en capacidades de seguridad aplicables. Este ecosistema de herramientas aborda una importante laguna de contenido, ya que pocos competidores cubren estos recursos de forma exhaustiva.

Tabla: Ecosistema de herramientas oficiales de MITRE ATLAS

Herramienta Propósito URL Características principales
Navegador ATLAS Visualización y anotación de matrices atlas.mitre.org Capas personalizadas, mapeo de cobertura, capacidades de exportación
Arsenal Emulación automatizada de adversarios github.com/mitre-atlas/arsenal Complemento CALDERA, implementación técnica, automatización del equipo rojo
Compartir incidentes de IA Inteligencia sobre amenazas comunitarias ai-incidentes.mitre.org Informes de incidentes anonimizados, base de datos de vulnerabilidades
Base de datos de riesgos de IA Repositorio de incidentes y vulnerabilidades ai-incidentes.mitre.org Incidentes buscables, integración CVE

Guía paso a paso de ATLAS Navigator

ATLAS Navigator proporciona una interfaz web interactiva para visualizar la matriz del marco. Los equipos de seguridad utilizan Navigator para:

  1. Mapeo de cobertura: cree capas personalizadas que muestren qué técnicas abordan sus controles de seguridad.
  2. Modelado de amenazas: destaque las técnicas relevantes basadas en la arquitectura de su sistema de IA.
  3. Análisis de deficiencias: Identificar técnicas sin capacidades de detección correspondientes.
  4. Informes: Exportación de visualizaciones para la comunicación con las partes interesadas.

Navigator se integra con ATT&CK Navigator, lo que permite obtener vistas unificadas en ambos marcos. Los equipos que ya utilizan ATT&CK Navigator se familiarizarán inmediatamente con la interfaz de ATLAS.

Arsenal para equipos rojos de IA

En marzo de 2023, Microsoft y MITRE anunciaron su colaboración en Arsenal, un complemento de CALDERA que permite la emulación automatizada de adversarios contra sistemas de IA. Arsenal implementa técnicas ATLAS sin necesidad de tener profundos conocimientos de aprendizaje automático.

Las capacidades clave incluyen:

  • Perfiles de adversarios predefinidos basados en tácticas ATLAS.
  • Ejecución automatizada de cadenas de ataque para ejercicios del equipo púrpura
  • Resultados asignados directamente a los identificadores de la técnica ATLAS.
  • Integración con implementaciones existentes de CALDERA

Arsenal apoya la búsqueda de amenazas mediante la validación de la cobertura de detección frente a simulaciones de ataques realistas. Para los equipos de respuesta a incidentes, Arsenal ayuda a comprender las capacidades de los atacantes y a probar los procedimientos de respuesta.

Iniciativa para compartir incidentes relacionados con la IA

La Iniciativa para compartir incidentes relacionados con la IA permite a las organizaciones compartir y aprender de los incidentes de seguridad relacionados con la IA. Esta plataforma impulsada por la comunidad ofrece:

  • Informes de incidentes anonimizados con mapeo de la técnica ATLAS
  • Base de datos consultable sobre vulnerabilidades y ataques de IA.
  • Integración con los grupos de trabajo de CVE y CWE AI
  • Análisis de tendencias en los incidentes notificados

Esta información se incorpora directamente a las actualizaciones de ATLAS, lo que garantiza que el marco refleje los patrones de amenaza actuales.

Comparación de marcos: ATLAS frente a OWASP LLM Top 10 frente a NIST AI RMF

Los equipos de seguridad suelen preguntar qué marco de seguridad de IA deben adoptar. La respuesta: utilice los tres para obtener una cobertura complementaria. Esta comparación ayuda a los equipos a comprender cuándo aplicar cada marco, lo que responde a una pregunta habitual sobre la PAA.

Tabla: Comparación de marcos de seguridad de IA: ATLAS frente a OWASP frente a NIST AI RMF

Marco Enfoque Audiencia Lo mejor para
MITRE ATLAS Técnicas, tácticas y procedimientos adversarios para sistemas de IA Operaciones de seguridad, cazadores de amenazas Modelado de amenazas, desarrollo de detección, equipos rojos
OWASP LLM Top 10 Vulnerabilidades de las aplicaciones LLM Desarrolladores, ingenieros de seguridad de aplicaciones Desarrollo seguro, revisión de código, evaluación de vulnerabilidades
NIST IA RMF Gobernanza del riesgo de la IA Gestores de riesgos, equipos de cumplimiento normativo Gobernanza organizativa, cumplimiento normativo

Según el análisis de marcos de Cloudsine, estos marcos sirven para diferentes fases del ciclo de vida de la seguridad de la IA:

  • Fase de desarrollo: Las 10 guías principales de OWASP LLM sobre prácticas de codificación segura.
  • Fase operativa: ATLAS informa sobre el modelado de amenazas y las estrategias de detección.
  • Fase de gobernanza: El NIST AI RMF estructura la gestión de riesgos y el cumplimiento normativo.

Tabla de correspondencias: Correspondencias entre marcos

Tabla: Tabla comparativa del marco para vulnerabilidades comunes de IA

Vulnerabilidad Técnica ATLAS OWASP LLM Función RMF de IA del NIST
Prompt injection AML.0051 LLM01 Mapa, Medida
Contaminación de datos AML.0020 LLM03 Gestione
Cadena de suministro Supply Chain de ML LLM05 Gobernar
Robo de modelos Extracción de modelos LLM10 Gestione

Comprender las vulnerabilidades en los tres marcos permite una cobertura integral. Los equipos deben asignar sus activos de IA a las técnicas pertinentes en cada marco.

Integración y puesta en marcha del SOC

La integración de ATLAS en las operaciones de seguridad requiere técnicas de mapeo de las capacidades de detección y los flujos de trabajo. Según la guía de integración SOC de ThreatConnect, aproximadamente el 70 % de las mitigaciones de ATLAS se corresponden con los controles de seguridad existentes. El 30 % restante requiere nuevos controles específicos de IA.

Pasos para la integración del SOC:

  1. Inventario de activos de IA: documentar todos los modelos de aprendizaje automático, procesos de formación y aplicaciones habilitadas para IA.
  2. Asigne técnicas a los activos: identifique qué técnicas de ATLAS se aplican en función de su arquitectura de IA.
  3. Evaluar la cobertura actual: Utilizar Navigator para visualizar las capacidades de detección existentes.
  4. Priorizar las deficiencias: centrarse en las técnicas de alto impacto relevantes para su entorno.
  5. Desarrollar reglas de detección: crear reglas y alertas SIEM para técnicas prioritarias.
  6. Establecer puntos de referencia: definir el comportamiento normal para la telemetría del sistema de IA.
  7. Integración con flujos de trabajo: añadir contexto ATLAS a los procedimientos de clasificación e investigación de alertas.
  8. Revisión trimestral: Actualizar los modelos de amenazas a medida que evoluciona ATLAS.

Asignación de reglas de detección

Una detección eficaz requiere asignar las técnicas ATLAS a fuentes de registro específicas y a la lógica de detección.

Tabla: Ejemplo de asignación de detección para técnicas ATLAS prioritarias.

Técnica ATLAS Fuente de registro Lógica de detección Prioridad
Prompt InjectionAML.0051) Registros de aplicaciones, puerta de enlace API Patrones de entrada inusuales, firmas de inyección Crítica
Envenenamiento de datos (AML.0020) Registros del proceso de formación Anomalías en la distribución de datos, violaciones de procedencia Alta
API de inferencia ML Exfiltración Registros de acceso a la API, registros cloud Consultas de gran volumen, patrones de acceso inusuales Alta
Extracción de modelos Registros de la API de inferencia Consultas sistemáticas que exploran los límites del modelo Medio

Las capacidades de detección y respuesta de red complementan la detección en la capa de aplicación. El análisis del comportamiento de usuarios y entidades (UEBA) ayuda a identificar patrones de acceso anómalos a los sistemas de IA.

Métricas y seguimiento de la cobertura

Realice un seguimiento de estas métricas para medir la operatividad de ATLAS:

  • Cobertura de técnicas: Porcentaje de técnicas relevantes con reglas de detección.
  • Latencia de detección: tiempo transcurrido desde la ejecución del ataque hasta la generación de la alerta.
  • Tasa de falsos positivos: precisión de las alertas para detecciones específicas de IA.
  • Moneda del modelo de amenazas: días desde la última actualización informada por ATLAS.

Las revisiones trimestrales del modelo de amenazas garantizan que la cobertura se mantenga al día con las actualizaciones del marco y las amenazas emergentes.

Estudios de casos y lecciones aprendidas

ATLAS incluye 42 casos prácticos que documentan ataques reales contra sistemas de IA, frente a los 33 registrados en octubre de 2025. El análisis de estos incidentes ofrece información útil para la defensa que va más allá de la modelización teórica de amenazas.

Análisis del caso práctico de deepfake de iProov

En noviembre de 2025, MITRE ATLAS publicó un estudio de caso que documentaba ataques deepfake contra sistemas móviles de detección de vida KYC (Know Your Customer). Según la cobertura de Mobile ID World, este ataque se dirigió contra plataformas bancarias, de servicios financieros y de criptomonedas.

Progresión de la cadena de ataques:

Reconocimiento -> Desarrollo de recursos -> Acceso inicial -> Evasión de la defensa -> Impacto

  1. Reconocimiento: los atacantes recopilaron información sobre la identidad del objetivo mediante ingeniería social a través de perfiles en redes sociales.
  2. Desarrollo de recursos: los adversarios adquirieron herramientas de IA para intercambiar rostros (Faceswap, Deep Live Cam).
  3. Acceso inicial: la inyección de la cámara virtual OBS evitó los requisitos de la cámara física.
  4. Evasión de la defensa: los deepfakes generados por IA derrotaron a los algoritmos de detección de vida.
  5. Impacto: Creación fraudulenta de cuentas y elusión de la verificación de identidad con éxito.

Recomendaciones defensivas:

  • Implementar la verificación multimodal más allá del reconocimiento facial.
  • Implementar la certificación de dispositivos para detectar la inyección de cámaras virtuales.
  • Supervisar los signos de medios sintéticos en las capturas biométricas.
  • Establecer una detección de presencia mejorada con detección de profundidad.

Este caso práctico muestra cómo los atacantes combinan la ingeniería social con herramientas de IA para burlar los controles de seguridad, lo que puede dar lugar a violaciones de datos.

Caso práctico sobre la puerta trasera del agente de IA SesameOp (AML.CS0042)

El caso práctico SesameOp, incorporado a ATLAS a finales de 2025, documenta una novedosa técnica de puerta trasera que aprovecha las API de los asistentes de IA para el comando y control. En lugar de crear una infraestructura C2 tradicional, los atacantes reutilizaron las API de servicios de agentes legítimos como canales de control encubiertos, integrando la actividad maliciosa en los flujos de trabajo normales de la IA. Este patrón de ataque se corresponde con la nueva técnica de API de servicios de IA (AML.0096) y muestra cómo la infraestructura de IA autónoma crea mando y control canales que eluden la detección de las redes convencionales.

Otros casos prácticos destacados (2025-2026)

Entre octubre de 2025 y febrero de 2026, ATLAS amplió su número de casos prácticos de 33 a 42. Entre las incorporaciones más destacadas se incluyen:

  • Secuestro de transacciones financieras con M365 Copilot como agente interno: demostración de cómo se pueden utilizar los asistentes de IA para realizar operaciones financieras no autorizadas
  • Confusión organizativa en Hugging Face: análisis de los riesgos derivados del uso indebido del repositorio de modelos en los ataques a la cadena de suministro
  • Vulnerabilidad del servidor MCP (enero de 2026): documentación de los ataques contra la infraestructura del Protocolo de Contexto de Modelos

Omisión del producto Cylance para puntos finales

El análisis HiddenLayer del caso práctico AML.CS0003 de ATLAS documenta cómo los investigadores eludieron un producto de seguridad para terminales basado en ML:

  • Los atacantes utilizaron técnicas de perturbación adversaria para crear malware que evadía la detección.
  • El ataque demostró la evasión del modelo sin conocer la arquitectura subyacente del mismo.
  • Las lecciones defensivas incluyen la diversidad de modelos y la validación de entradas para herramientas de seguridad basadas en ML.

Detección y prevención de amenazas de IA

Las amenazas de seguridad relacionadas con la IA requieren métodos de detección especializados que vayan más allá de los controles de seguridad tradicionales. Dado que los ataques de adversarios que utilizan la IA han aumentado un 89 % en comparación con años anteriores —frente al incremento del 72 % registrado en 2025—, las organizaciones necesitan estrategias de defensa proactivas.

Lista de verificación de defensa para la seguridad de la IA:

  • [ ] Implementar la validación y desinfección de entradas para todas las interacciones LLM.
  • [ ] Implementar prompt injection en la capa de aplicación
  • [ ] Establecer el control de la procedencia y la integridad de los datos de entrenamiento.
  • [ ] Supervisar los patrones de acceso a la API de inferencia para detectar anomalías.
  • [ ] Auditar periódicamente las configuraciones y permisos de los agentes de IA.
  • [ ] Integrar alertas específicas de IA con los flujos de trabajo existentes del SOC.
  • [ ] Realizar ejercicios periódicos del equipo rojo de IA utilizando Arsenal.
  • [ ] Suscríbete a las fuentes de inteligencia sobre amenazas de IA

Las organizaciones deben alinear las inversiones en seguridad de IA con phishing ( phishing generado por IA phishing aumentando rápidamente) como con la defensa contra el ransomware (la IA permite ataques más sofisticados).

Prompt injection en MITRE ATLAS (AML.0051)

Prompt injection la técnica más destacada de ATLAS, catalogada como AML.0051 en el marco de la táctica de «acceso inicial». Los modelos de lenguaje a gran escala se enfrentan a vectores de ataque únicos que los sistemas de seguridad tradicionales no pueden contrarrestar, y ATLAS cataloga estas amenazas de forma sistemática.

Tabla: Tipos de amenazas LLM con mapeo ATLAS y métodos de detección

Tipo de amenaza Técnica ATLAS Método de detección Mitigación
prompt injection AML.0051.001 Análisis del patrón de entrada Desinfección de entradas, jerarquía de instrucciones
prompt injection indirecta prompt injection AML.0051.002 Validación de la fuente del contenido Controles de fuentes de datos, entornos aislados
LLM jailbreaking AML.0051 Supervisión del comportamiento de salida Barandillas, filtrado de salida
Manipulación de la ventana de contexto AML.0051 Supervisión de la longitud del contexto Límites contextuales, resumen
Intoxicación por RAG AML.0060 Comprobaciones de integridad de documentos Verificación de fuentes, controles de acceso

Los CVE recientes demuestran estas amenazas en la práctica:

  • CVE-2025-32711 (EchoLeak): Según el análisis de Hack The Box, esta vulnerabilidad de Microsoft Copilot permitía la exfiltración de datos sin necesidad de clic mediante prompt injection con la reflexión de comandos.
  • CVE-2025-54135/54136 (CurXecute): Según informa BleepingComputer, la implementación de MCP en el IDE de Cursor permitía la ejecución remota de código mediante prompt injection

Las capacidades de detección y respuesta ante amenazas a la identidad ayudan a detectar intentos de robo de credenciales mediante la explotación de LLM.

Consideraciones de seguridad de la IA agencial

La actualización de ATLAS de octubre de 2025 aborda específicamente los agentes autónomos de IA, es decir, sistemas que pueden realizar acciones, acceder a herramientas y mantener el contexto entre sesiones. Entre las nuevas técnicas se incluyen:

  • AML.0058 Envenenamiento del contexto del agente de IA: Inyectar contenido malicioso en la memoria del agente o en el contexto del subproceso.
  • AML.0059 Desencadenantes de activación: Incorporación de desencadenantes que se activan en condiciones específicas.
  • AML.0060 Datos de los servicios de IA: Extracción de información mediante la recuperación de la base de datos RAG.
  • AML.0061 Herramientas para agentes de IA: Aprovechar el acceso a la herramienta del agente con fines maliciosos.
  • AML.0062 Exfiltración mediante la invocación de la herramienta AI Agent: Uso de llamadas a herramientas legítimas para extraer datos.

Principios de seguridad para agentes de IA:

  1. Aplicar el privilegio mínimo a todos los permisos de las herramientas de los agentes.
  2. Implementar el «human-in-the-loop» para operaciones delicadas.
  3. Supervisar continuamente los cambios en la configuración del agente.
  4. Validar las configuraciones y conexiones del servidor MCP.
  5. Establecer bases de referencia del comportamiento de los agentes para la detección de anomalías.

Según las directrices sobre IA/OT de la CISA de diciembre de 2025, las organizaciones deben incorporar medidas de supervisión y seguridad para todos los sistemas de IA que operan en entornos críticos.

Seguridad MCP y cartografía mediante la técnica ATLAS

El Protocolo de Contexto de Modelos (MCP) —un estándar abierto para conectar agentes de IA con herramientas y fuentes de datos externas— introduce superficies de ataque que ATLAS aborda ahora de forma explícita. Las vulnerabilidades del MCP permiten a los atacantes manipular la capa de llamada a herramientas entre los agentes de IA y los sistemas empresariales, eludiendo los controles de seguridad tradicionales.

Las técnicas de ATLAS relevantes para la seguridad de MCP incluyen:

  • Herramientas para agentes de IA (AML.0061): Los atacantes aprovechan las configuraciones de los servidores MCP para ejecutar acciones no autorizadas con herramientas o acceder a datos restringidos
  • Exfiltración mediante la invocación de la herramienta AI Agent (AML.0062): Los atacantes aprovechan las llamadas legítimas a herramientas de MCP para extraer datos confidenciales a través de canales autorizados
  • Publicar la herramienta «Poisoned AI Agent» (añadida en febrero de 2026): los atacantes crean versiones maliciosas de herramientas legítimas de MCP que parecen seguras, pero que ejecutan acciones dañinas cuando se invocan
  • API del servicio de IA (AML.0096(añadido en 2026): Aprovechamiento de las API de orquestación de IA para el comando y control encubierto

La actualización de ATLAS de enero de 2026 (v5.3.0) añadió tres nuevos casos prácticos que tratan específicamente sobre la compromisión de servidores MCP y la inyección indirecta prompt injection a través de canales MCP y el despliegue de agentes de IA maliciosos. Los equipos de seguridad deben validar todas las configuraciones de los servidores MCP, restringir los permisos de las herramientas al mínimo necesario y supervisar los patrones de ejecución de las herramientas en busca de anomalías.

Enfoques modernos para la seguridad de la IA

El panorama de la seguridad de la IA evoluciona rápidamente, con la presión regulatoria y la colaboración de la industria impulsando la adopción de marcos normativos. Las organizaciones deben prepararse tanto para las amenazas emergentes como para los requisitos de cumplimiento normativo.

El Programa MITRE Secure AI, que cuenta con el respaldo de 16 organizaciones miembros, entre las que se incluyen Microsoft y JPMorgan Chase, se centra en ampliar ATLAS con observaciones del mundo real y en agilizar el intercambio de información sobre incidentes relacionados con la IA.

Novedades normativas:

  • Ley de IA de la UE: Las obligaciones relativas a la IA de uso general (GPAI) entraron en vigor en agosto de 2025, exigiendo pruebas adversarias para los sistemas de IA con riesgo sistémico y protección de la ciberseguridad contra el acceso no autorizado.
  • Guía de la CISA: La publicación interinstitucional de diciembre de 2025 aborda la seguridad de la IA en entornos de tecnología operativa.

Las amenazas a la seguridad relacionadas con la IA siguen aumentando: según un estudio del sector, el 87 % de las organizaciones afirma haber sufrido ciberataques basados en la IA y el 92 % expresa su preocupación por las implicaciones de seguridad de la IA autónoma.

Cómo Vectra AI las amenazas de seguridad relacionadas con la inteligencia artificial

Attack Signal Intelligence Vectra AI aplica principios de detección basados en el comportamiento que se ajustan a los objetivos del marco ATLAS. Al centrarse en los comportamientos de los atacantes en lugar de en firmas estáticas, las organizaciones pueden detectar las técnicas catalogadas en ATLAS —desde prompt injection hasta la exfiltración de datos a través de API de inferencia— en cloud híbrida.

Este enfoque permite a los equipos de seguridad identificar y priorizar las amenazas reales relacionadas con la IA, al tiempo que reduce el ruido de las alertas. La detección y respuesta de red, combinada con la detección de amenazas de identidad, proporciona visibilidad en toda la superficie de ataque a la que ahora se dirigen las amenazas de IA.

Conclusión

MITRE ATLAS ofrece el enfoque estructurado que las organizaciones necesitan para defender sus sistemas de IA frente a adversarios sofisticados. Con 16 tácticas, 84 técnicas y actualizaciones continuas que reflejan amenazas emergentes, como los ataques de IA autónoma y los exploits de MCP, este marco proporciona información útil a los equipos de seguridad.

La rápida expansión, que ha pasado de 15 tácticas en octubre de 2025 a 16 tácticas y 84 técnicas en febrero de 2026, demuestra el compromiso de ATLAS de mantenerse al día con la evolución de la IA. A medida que siguen aumentando los ataques asistidos por IA y entran en vigor requisitos normativos como la Ley de IA de la UE, las organizaciones no pueden permitirse el lujo de considerar la seguridad de la IA como algo secundario.

Empieza por estas medidas inmediatas:

  1. Explora el Navegador de ATLAS para comprender la estructura del marco
  2. Haz un inventario de tus recursos de IA e identifica las técnicas pertinentes
  3. Evaluar la cobertura actual de detección en relación con las técnicas prioritarias
  4. Integrar el contexto de ATLAS en los flujos de trabajo existentes del SOC

Para las organizaciones que buscan una seguridad integral frente a la IA más allá de la simple adopción de marcos de trabajo, la solución Attack Signal Intelligence Vectra AI Attack Signal Intelligence una detección basada en el comportamiento que identifica las técnicas de los atacantes catalogadas en ATLAS, lo que permite a los equipos de seguridad detectar y detener las amenazas de IA en entornos híbridos.

Preguntas frecuentes

¿Qué es MITRE ATLAS?

¿En qué se diferencia MITRE ATLAS de MITRE ATT&CK?

¿Cuántas tácticas y técnicas hay en MITRE ATLAS?

¿Qué es prompt injection MITRE ATLAS?

¿Cómo utilizo MITRE ATLAS para el modelado de amenazas?

¿Qué herramientas ofrece MITRE ATLAS?

¿En qué se diferencia MITRE ATLAS de OWASP LLM Top 10?

¿Qué es la base de datos de aprendizaje automático adversarial MITRE ATLAS?

¿Qué son los casos prácticos de MITRE ATLAS?

¿Cómo se utiliza ATLAS Navigator para exportar capas de cobertura?