Automatice la contención de ataques híbridos con 360 Response.

Automatice la contención de ataques híbridos con 360 Response >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Fundamentos de ciberseguridad

MITRE ATLAS explicado: La guía completa sobre inteligencia de amenazas de seguridad de IA

Información clave

  • MITRE ATLAS cataloga 15 tácticas, 66 técnicas y 46 subtécnicas dirigidas específicamente a los sistemas de inteligencia artificial y aprendizaje automático a fecha de octubre de 2025.
  • La actualización del marco de octubre de 2025 añadió 14 nuevas técnicas de IA agencial gracias a la colaboración con Zenity Labs, abordando los riesgos de seguridad de los agentes de IA autónomos.
  • ATLAS complementa, en lugar de competir, con OWASP LLM Top 10 y NIST AI RMF: utilice los tres para obtener una cobertura completa.
  • Aproximadamente el 70 % de las medidas de mitigación de ATLAS se corresponden con controles de seguridad existentes, lo que facilita la integración con los flujos de trabajo actuales del SOC.
  • Las herramientas gratuitas, como ATLAS Navigator y Arsenal, permiten modelar amenazas de forma inmediata y ofrecen capacidades de red teaming.

Las organizaciones que implementan inteligencia artificial se enfrentan a una nueva frontera de amenazas de seguridad que los marcos tradicionales nunca fueron diseñados para abordar. Según Cyber Insights 2025 de SecurityWeek, los ciberataques asistidos por IA aumentaron un 72 % solo en 2025. Esta escalada exige un enfoque estructurado para comprender y defenderse de las amenazas adversas a los sistemas de IA. Entra en escena el marco MITRE ATLAS, la primera base de conocimientos adversaria completa sobre aprendizaje automático diseñada específicamente para catalogar cómo los atacantes se dirigen a los sistemas de aprendizaje automático e inteligencia artificial.

Para los equipos de seguridad que ya están familiarizados con MITRE ATT&CK, ATLAS (a veces denominado Atlas MITRE en las búsquedas) ofrece una extensión natural al ámbito de la seguridad de la IA. Esta guía proporciona todo lo que los analistas de seguridad, los responsables de SOC y los ingenieros de IA necesitan para poner en práctica ATLAS frente a los ataques de IA adversarios, desde los fundamentos del marco hasta las estrategias prácticas de detección.

¿Qué es MITRE ATLAS?

MITRE ATLAS es una base de conocimientos sobre inteligencia artificial adversaria accesible a nivel mundial que documenta las tácticas, técnicas y procedimientos (TTP) de los adversarios dirigidos específicamente a los sistemas de inteligencia artificial y aprendizaje automático. A menudo denominada base de conocimientos sobre IA adversaria MITRE ATLAS, proporciona a los equipos de seguridad un enfoque estructurado para comprender, detectar y defenderse de las amenazas específicas de la IA. Siguiendo el modelo MITRE ATT&CK , ampliamente adoptado, el marco MITRE ATLAS sirve como marco de seguridad de aprendizaje automático definitivo para el modelado de amenazas. El acrónimo significa «Paisaje de amenazas adversarias para sistemas de inteligencia artificial».

A fecha de octubre de 2025, el marco contiene 15 tácticas, 66 técnicas, 46 subtécnicas, 26 mitigaciones y 33 casos prácticos reales, según el registro oficial de cambios de MITRE ATLAS. Esto supone un crecimiento significativo con respecto a versiones anteriores, impulsado por la rápida evolución de las amenazas de IA.

El aprendizaje automático adversarial —el estudio de los ataques a los sistemas de aprendizaje automático y las defensas contra ellos— abarca cuatro categorías principales de ataques, según documenta el NIST: evasión, envenenamiento, privacidad y abusos. ATLAS organiza estos patrones de ataque en una estructura matricial que los profesionales de la seguridad pueden poner en práctica de inmediato.

MITRE creó ATLAS para abordar una brecha crítica en el panorama de la seguridad. Si bien ATT&CK cataloga eficazmente las amenazas a la infraestructura tradicional de TI y OT, carece de cobertura de los ataques que explotan las características únicas de los sistemas de aprendizaje automático. ATLAS llena este vacío al proporcionar el mismo enfoque riguroso y validado por la comunidad para la inteligencia de amenazas de IA.

El marco también se conecta con MITRE D3FEND, que proporciona contramedidas defensivas que las organizaciones pueden aplicar frente a las técnicas ATLAS.

ATLAS frente a MITRE ATT&CK: diferencias clave

Comprender la diferencia entre ATLAS y ATT&CK ayuda a los equipos de seguridad a determinar cuándo aplicar cada marco.

Tabla: Comparación entre los marcos MITRE ATT&CK MITRE ATLAS

Aspecto MITRE ATT&CK MITRE ATLAS
Enfoque principal Comportamientos adversarios tradicionales de TI/TO Comportamientos adversarios específicos de IA/ML
Recuento de tácticas 14 tácticas (Empresa) 15 tácticas (14 heredadas + 2 específicas de la IA)
Recuento de técnicas Más de 196 técnicas 66 técnicas
Tácticas únicas Ninguno específico para IA Acceso al modelo ML, preparación del ataque ML
Sistemas objetivo Terminales, redes, cloud Modelos ML, procesos de entrenamiento, LLM
Estudios de casos Grupos y perfiles de software 33 análisis de incidentes específicos de IA
Ideal para Modelado de amenazas para terminales/redes Modelado de amenazas del sistema de IA

ATLAS hereda 13 tácticas de ATT&CK, entre ellas Reconocimiento, Acceso inicial, Ejecución y Exfiltración, pero las aplica específicamente a contextos de IA. Las dos tácticas específicas de IA exclusivas de ATLAS son:

  • Acceso al modelo ML (AML.TA0004): Describe cómo los adversarios obtienen acceso a los modelos de aprendizaje automático objetivo a través de API de inferencia o acceso directo a artefactos.
  • Preparación del ataque ML (AML.TA0012): Abarca cómo los adversarios preparan ataques dirigidos a modelos de aprendizaje automático, incluyendo el envenenamiento de datos de entrenamiento y puerta trasera inserción

Los equipos de seguridad deben utilizar ambos marcos conjuntamente para obtener una cobertura completa: ATT&CK para las amenazas tradicionales a la infraestructura y ATLAS para los vectores de ataque específicos de la IA.

Cómo funciona ATLAS: estructura del marco y matriz MITRE ATLAS

La base de conocimientos oficial MITRE ATLAS organiza la información sobre amenazas utilizando la misma estructura matricial que ha hecho posible el éxito de ATT&CK. Comprender esta estructura permite detectar amenazas de forma eficaz y crear modelos de amenazas basados en inteligencia artificial.

La matriz MITRE ATLAS (a veces denominada matriz del marco MITRE para IA) muestra las tácticas en columnas y las técnicas en filas. Cada celda representa un método específico que utilizan los adversarios para alcanzar objetivos tácticos contra los sistemas de IA. Esta organización visual permite a los equipos de seguridad identificar rápidamente las lagunas en la cobertura y priorizar las defensas.

Los componentes del marco funcionan conjuntamente:

  1. Las tácticas responden al «por qué»: el objetivo del adversario en cada fase del ataque.
  2. Las técnicas responden al «cómo»: métodos específicos para alcanzar objetivos tácticos.
  3. Las sub-técnicas proporcionan detalles granulares sobre las variaciones de las técnicas.
  4. Las mitigaciones describen medidas defensivas que contrarrestan técnicas específicas.
  5. Los casos prácticos documentan ataques reales relacionados con las TTP de ATLAS.

Los datos de ATLAS están disponibles en formato STIX 2.1, lo que permite una integración legible por máquina con herramientas y plataformas de seguridad. Este formato estandarizado admite la ingestión automatizada en plataformas de inteligencia sobre amenazas y sistemas SIEM.

El marco recibe actualizaciones periódicas gracias a las contribuciones de la comunidad y a la investigación continua de MITRE. La actualización de octubre de 2025, realizada en colaboración con Zenity Labs, añadió 14 nuevas técnicas centradas en los agentes, lo que demuestra la evolución activa del marco.

Comprensión de tácticas, técnicas y procedimientos (TTP)

Las tácticas, técnicas y procedimientos (TTP) constituyen el vocabulario básico de la defensa basada en la información sobre amenazas. En ATLAS:

  • Las tácticas representan los objetivos del adversario en cada fase de un ataque contra los sistemas de IA. Las 15 tácticas ATLAS abarcan desde el reconocimiento inicial hasta el impacto final.
  • Técnicas describir las acciones específicas que llevan a cabo los adversarios para alcanzar sus objetivos tácticos. Cada técnica tiene un identificador único con el formato AML.TXXXX.
  • Subtécnicas Desglosar las técnicas en variaciones más específicas. Por ejemplo, la inyección de comandos (AML.T0051) incluye sub-técnicas para métodos de inyección directa e indirecta.
  • Los procedimientos aparecen en casos prácticos, mostrando exactamente cómo los atacantes del mundo real implementaron técnicas específicas.

Esta jerarquía permite un modelado de amenazas cada vez más detallado. Los equipos pueden comenzar con un análisis de cobertura a nivel táctico y profundizar en técnicas específicas basadas en la exposición de su sistema de IA.

Las 15 tácticas y técnicas clave de ATLAS

ATLAS organiza 66 técnicas en 15 tácticas que abarcan todo el ciclo de vida de la adversidad. Este desglose exhaustivo aborda una importante laguna de contenido identificada en el análisis de la competencia: ninguna guía existente cubre todas las tácticas con orientaciones centradas en la detección.

Tabla: Lista completa de las 15 tácticas de MITRE ATLAS con técnicas clave.

Identificación de táctica Nombre de la táctica Técnicas clave Enfoque de detección
AML.TA0001 Reconocimiento Descubra los artefactos de ML, descubra la ontología de modelos de ML, escaneo activo Monitor para la comprobación de la arquitectura del modelo
AML.TA0002 Desarrollo de recursos Adquirir artefactos públicos de aprendizaje automático, desarrollar capacidades de ataque adversario de aprendizaje automático. Seguir la aparición de herramientas adversarias
AML.TA0003 Acceso inicial Supply Chain de ML, inyección inmediata (AML.T0051) Auditar la cadena de suministro, validar los datos introducidos.
AML.TA0004 Acceso al modelo ML Acceso a la API de inferencia, acceso a artefactos de ML Registro de acceso a la API, integridad de los artefactos
AML.TA0005 Ejecución Ejecución por parte del usuario, compromiso del complemento LLM Supervisión de la seguridad de los complementos
AML.TA0006 Persistencia Modificar la configuración del agente de IA Detección de cambios en la configuración
AML.TA0007 Escalada de privilegios Explotación a través del sistema ML Sistema de monitorización de límites ML
AML.TA0008 Defensa Evasión Perturbación adversaria, extracción de metaprompts LLM Detección de anomalías en el comportamiento de modelos
AML.TA0009 Acceso con credenciales Credenciales de la configuración del agente de IA Supervisión del acceso a la configuración del agente
AML.TA0010 Descubrimiento Descubra la configuración del agente de IA Detección de intentos de enumeración
AML.TA0011 Colección Datos de servicios de IA, recuperación de bases de datos RAG Análisis de patrones de acceso a datos
AML.TA0012 Preparación del ataque ML Datos de entrenamiento sobre venenos (AML.T0020), Modelo ML de puerta trasera Supervisión de la integridad de los datos de entrenamiento
AML.TA0013 Exfiltración Exfiltración a través de la API de inferencia ML, exfiltración a través de la invocación de la herramienta del agente de IA. Detección de anomalías en el uso de la API
AML.TA0014 Impacto Denegación del servicio ML, evasión del modelo ML, envío de spam al sistema ML. Supervisión de la disponibilidad del servicio

Reconocimiento a través del acceso inicial (AML.TA0001-AML.TA0003)

El ciclo de vida del ataque comienza con el reconocimiento, en el que los adversarios recopilan información sobre los sistemas de aprendizaje automático objetivo. Las técnicas clave incluyen:

  • Descubrir artefactos de ML: los adversarios buscan en repositorios públicos, documentación y API para comprender las arquitecturas de los modelos y los datos de entrenamiento.
  • Supply Chain de ML: los atacantes lanzan ataques contra la cadena de suministro insertando código o datos maliciosos en los procesos de ML.
  • Inyección inmediata (AML.T0051): Los adversarios crean entradas maliciosas para manipular el comportamiento del LLM, lo que se corresponde con OWASP LLM01.

Acceso y ejecución del modelo ML (AML.TA0004-AML.TA0005)

Estas tácticas específicas de la IA describen cómo los adversarios interactúan con los modelos de aprendizaje automático y los explotan:

  • Acceso a la API de inferencia: obtener acceso a las interfaces de predicción de modelos permite realizar reconocimientos y preparar ataques.
  • Compromiso del complemento LLM: la explotación de complementos vulnerables amplía las capacidades de los atacantes dentro de los sistemas de IA.

Persistencia mediante la evasión de la defensa (AML.TA0006-AML.TA0008)

Los actores maliciosos mantienen el acceso y evitan ser detectados mediante:

  • Modificar la configuración del agente de IA (añadido en octubre de 2025): los atacantes alteran la configuración del agente para mantener la persistencia.
  • Perturbación adversaria: Creación de entradas que provocan que los modelos clasifiquen erróneamente, aunque parezcan normales para los seres humanos.

Recaudación a través del impacto (AML.TA0009-AML.TA0014)

Las tácticas de etapas posteriores se centran en alcanzar los objetivos del adversario:

  • Recuperación de bases de datos RAG: extracción de información confidencial de sistemas de generación aumentada por recuperación.
  • Datos de entrenamiento sobre venenos (AML.T0020): El envenenamiento de datos corrompe los datos de entrenamiento para manipular el comportamiento del modelo, lo cual es crítico. exfiltración de datos vector
  • Exfiltración mediante invocación de herramientas de agentes de IA (añadido en octubre de 2025): aprovechamiento del acceso a herramientas de agentes para extraer datos.

Comprender los patrones de movimiento lateral ayuda a los equipos de seguridad a rastrear cómo avanzan los atacantes mediante estas tácticas.

Ecosistema de herramientas ATLAS

ATLAS proporciona herramientas prácticas y gratuitas que transforman el marco de la documentación en capacidades de seguridad aplicables. Este ecosistema de herramientas aborda una importante laguna de contenido, ya que pocos competidores cubren estos recursos de forma exhaustiva.

Tabla: Ecosistema de herramientas oficiales de MITRE ATLAS

Herramienta Propósito URL Características principales
Navegador ATLAS Visualización y anotación de matrices atlas.mitre.org Capas personalizadas, mapeo de cobertura, capacidades de exportación
Arsenal Emulación automatizada de adversarios github.com/mitre-atlas/arsenal Complemento CALDERA, implementación técnica, automatización del equipo rojo
Compartir incidentes de IA Inteligencia sobre amenazas comunitarias ai-incidentes.mitre.org Informes de incidentes anonimizados, base de datos de vulnerabilidades
Base de datos de riesgos de IA Repositorio de incidentes y vulnerabilidades ai-incidentes.mitre.org Incidentes buscables, integración CVE

Guía paso a paso de ATLAS Navigator

ATLAS Navigator proporciona una interfaz web interactiva para visualizar la matriz del marco. Los equipos de seguridad utilizan Navigator para:

  1. Mapeo de cobertura: cree capas personalizadas que muestren qué técnicas abordan sus controles de seguridad.
  2. Modelado de amenazas: destaque las técnicas relevantes basadas en la arquitectura de su sistema de IA.
  3. Análisis de deficiencias: Identificar técnicas sin capacidades de detección correspondientes.
  4. Informes: Exportación de visualizaciones para la comunicación con las partes interesadas.

Navigator se integra con ATT&CK Navigator, lo que permite obtener vistas unificadas en ambos marcos. Los equipos que ya utilizan ATT&CK Navigator se familiarizarán inmediatamente con la interfaz de ATLAS.

Arsenal para equipos rojos de IA

En marzo de 2023, Microsoft y MITRE anunciaron su colaboración en Arsenal, un complemento de CALDERA que permite la emulación automatizada de adversarios contra sistemas de IA. Arsenal implementa técnicas ATLAS sin necesidad de tener profundos conocimientos de aprendizaje automático.

Las capacidades clave incluyen:

  • Perfiles de adversarios predefinidos basados en tácticas ATLAS.
  • Ejecución automatizada de cadenas de ataque para ejercicios del equipo púrpura
  • Resultados asignados directamente a los identificadores de la técnica ATLAS.
  • Integración con implementaciones existentes de CALDERA

Arsenal apoya la búsqueda de amenazas mediante la validación de la cobertura de detección frente a simulaciones de ataques realistas. Para los equipos de respuesta a incidentes, Arsenal ayuda a comprender las capacidades de los atacantes y a probar los procedimientos de respuesta.

Iniciativa para compartir incidentes relacionados con la IA

La Iniciativa para compartir incidentes relacionados con la IA permite a las organizaciones compartir y aprender de los incidentes de seguridad relacionados con la IA. Esta plataforma impulsada por la comunidad ofrece:

  • Informes de incidentes anonimizados con mapeo de la técnica ATLAS
  • Base de datos consultable sobre vulnerabilidades y ataques de IA.
  • Integración con los grupos de trabajo de CVE y CWE AI
  • Análisis de tendencias en los incidentes notificados

Esta información se incorpora directamente a las actualizaciones de ATLAS, lo que garantiza que el marco refleje los patrones de amenaza actuales.

Comparación de marcos: ATLAS frente a OWASP LLM Top 10 frente a NIST AI RMF

Los equipos de seguridad suelen preguntar qué marco de seguridad de IA deben adoptar. La respuesta: utilice los tres para obtener una cobertura complementaria. Esta comparación ayuda a los equipos a comprender cuándo aplicar cada marco, lo que responde a una pregunta habitual sobre la PAA.

Tabla: Comparación de marcos de seguridad de IA: ATLAS frente a OWASP frente a NIST AI RMF

Marco Enfoque Audiencia Lo mejor para
MITRE ATLAS Técnicas, tácticas y procedimientos adversarios para sistemas de IA Operaciones de seguridad, cazadores de amenazas Modelado de amenazas, desarrollo de detección, equipos rojos
OWASP LLM Top 10 Vulnerabilidades de las aplicaciones LLM Desarrolladores, ingenieros de seguridad de aplicaciones Desarrollo seguro, revisión de código, evaluación de vulnerabilidades
NIST IA RMF Gobernanza del riesgo de la IA Gestores de riesgos, equipos de cumplimiento normativo Gobernanza organizativa, cumplimiento normativo

Según el análisis de marcos de Cloudsine, estos marcos sirven para diferentes fases del ciclo de vida de la seguridad de la IA:

  • Fase de desarrollo: Las 10 guías principales de OWASP LLM sobre prácticas de codificación segura.
  • Fase operativa: ATLAS informa sobre el modelado de amenazas y las estrategias de detección.
  • Fase de gobernanza: El NIST AI RMF estructura la gestión de riesgos y el cumplimiento normativo.

Tabla de correspondencias: Correspondencias entre marcos

Tabla: Tabla comparativa del marco para vulnerabilidades comunes de IA

Vulnerabilidad Técnica ATLAS OWASP LLM Función RMF de IA del NIST
Inyección inmediata AML.T0051 LLM01 Mapa, Medida
Contaminación de datos AML.T0020 LLM03 Gestione
Cadena de suministro Supply Chain de ML LLM05 Gobernar
Robo de modelos Extracción de modelos LLM10 Gestione

Comprender las vulnerabilidades en los tres marcos permite una cobertura integral. Los equipos deben asignar sus activos de IA a las técnicas pertinentes en cada marco.

Integración y puesta en marcha del SOC

La integración de ATLAS en las operaciones de seguridad requiere técnicas de mapeo de las capacidades de detección y los flujos de trabajo. Según la guía de integración SOC de ThreatConnect, aproximadamente el 70 % de las mitigaciones de ATLAS se corresponden con los controles de seguridad existentes. El 30 % restante requiere nuevos controles específicos de IA.

Pasos para la integración del SOC:

  1. Inventario de activos de IA: documentar todos los modelos de aprendizaje automático, procesos de formación y aplicaciones habilitadas para IA.
  2. Asigne técnicas a los activos: identifique qué técnicas de ATLAS se aplican en función de su arquitectura de IA.
  3. Evaluar la cobertura actual: Utilizar Navigator para visualizar las capacidades de detección existentes.
  4. Priorizar las deficiencias: centrarse en las técnicas de alto impacto relevantes para su entorno.
  5. Desarrollar reglas de detección: crear reglas y alertas SIEM para técnicas prioritarias.
  6. Establecer puntos de referencia: definir el comportamiento normal para la telemetría del sistema de IA.
  7. Integración con flujos de trabajo: añadir contexto ATLAS a los procedimientos de clasificación e investigación de alertas.
  8. Revisión trimestral: Actualizar los modelos de amenazas a medida que evoluciona ATLAS.

Asignación de reglas de detección

Una detección eficaz requiere asignar las técnicas ATLAS a fuentes de registro específicas y a la lógica de detección.

Tabla: Ejemplo de asignación de detección para técnicas ATLAS prioritarias.

Técnica ATLAS Fuente de registro Lógica de detección Prioridad
Inyección inmediata (AML.T0051) Registros de aplicaciones, puerta de enlace API Patrones de entrada inusuales, firmas de inyección Crítica
Envenenamiento de datos (AML.T0020) Registros del proceso de formación Anomalías en la distribución de datos, violaciones de procedencia Alta
API de inferencia ML Exfiltración Registros de acceso a la API, registros cloud Consultas de gran volumen, patrones de acceso inusuales Alta
Extracción de modelos Registros de la API de inferencia Consultas sistemáticas que exploran los límites del modelo Medio

Las capacidades de detección y respuesta de red complementan la detección en la capa de aplicación. El análisis del comportamiento de usuarios y entidades (UEBA) ayuda a identificar patrones de acceso anómalos a los sistemas de IA.

Métricas y seguimiento de la cobertura

Realice un seguimiento de estas métricas para medir la operatividad de ATLAS:

  • Cobertura de técnicas: Porcentaje de técnicas relevantes con reglas de detección.
  • Latencia de detección: tiempo transcurrido desde la ejecución del ataque hasta la generación de la alerta.
  • Tasa de falsos positivos: precisión de las alertas para detecciones específicas de IA.
  • Moneda del modelo de amenazas: días desde la última actualización informada por ATLAS.

Las revisiones trimestrales del modelo de amenazas garantizan que la cobertura se mantenga al día con las actualizaciones del marco y las amenazas emergentes.

Estudios de casos y lecciones aprendidas

ATLAS incluye 33 casos prácticos que documentan ataques reales contra sistemas de IA. El análisis de estos incidentes proporciona información defensiva útil que va más allá de la modelización teórica de amenazas.

Análisis del caso práctico de deepfake de iProov

En noviembre de 2025, MITRE ATLAS publicó un estudio de caso que documentaba ataques deepfake contra sistemas móviles de detección de vida KYC (Know Your Customer). Según la cobertura de Mobile ID World, este ataque se dirigió contra plataformas bancarias, de servicios financieros y de criptomonedas.

Progresión de la cadena de ataques:

Reconocimiento -> Desarrollo de recursos -> Acceso inicial -> Evasión de la defensa -> Impacto

  1. Reconocimiento: los atacantes recopilaron información sobre la identidad del objetivo mediante ingeniería social a través de perfiles en redes sociales.
  2. Desarrollo de recursos: los adversarios adquirieron herramientas de IA para intercambiar rostros (Faceswap, Deep Live Cam).
  3. Acceso inicial: la inyección de la cámara virtual OBS evitó los requisitos de la cámara física.
  4. Evasión de la defensa: los deepfakes generados por IA derrotaron a los algoritmos de detección de vida.
  5. Impacto: Creación fraudulenta de cuentas y elusión de la verificación de identidad con éxito.

Recomendaciones defensivas:

  • Implementar la verificación multimodal más allá del reconocimiento facial.
  • Implementar la certificación de dispositivos para detectar la inyección de cámaras virtuales.
  • Supervisar los signos de medios sintéticos en las capturas biométricas.
  • Establecer una detección de presencia mejorada con detección de profundidad.

Este caso práctico muestra cómo los atacantes combinan la ingeniería social con herramientas de IA para burlar los controles de seguridad, lo que puede dar lugar a violaciones de datos.

Omisión del producto Cylance para puntos finales

El análisis HiddenLayer del caso práctico AML.CS0003 de ATLAS documenta cómo los investigadores eludieron un producto de seguridad para terminales basado en ML:

  • Los atacantes utilizaron técnicas de perturbación adversaria para crear malware que evadía la detección.
  • El ataque demostró la evasión del modelo sin conocer la arquitectura subyacente del mismo.
  • Las lecciones defensivas incluyen la diversidad de modelos y la validación de entradas para herramientas de seguridad basadas en ML.

Detección y prevención de amenazas de IA

Las amenazas a la seguridad de la IA requieren enfoques de detección especializados que vayan más allá de los controles de seguridad tradicionales. Con un aumento del 72 % en los ataques asistidos por IA en 2025, las organizaciones necesitan estrategias de defensa proactivas.

Lista de verificación de defensa para la seguridad de la IA:

  • [ ] Implementar la validación y desinfección de entradas para todas las interacciones LLM.
  • [ ] Implementar la detección inmediata de inyecciones en la capa de aplicación.
  • [ ] Establecer el control de la procedencia y la integridad de los datos de entrenamiento.
  • [ ] Supervisar los patrones de acceso a la API de inferencia para detectar anomalías.
  • [ ] Auditar periódicamente las configuraciones y permisos de los agentes de IA.
  • [ ] Integrar alertas específicas de IA con los flujos de trabajo existentes del SOC.
  • [ ] Realizar ejercicios periódicos del equipo rojo de IA utilizando Arsenal.
  • [ ] Suscríbete a las fuentes de inteligencia sobre amenazas de IA

Las organizaciones deben alinear las inversiones en seguridad de IA con phishing ( phishing generado por IA phishing aumentando rápidamente) como con la defensa contra el ransomware (la IA permite ataques más sofisticados).

Análisis detallado de amenazas específicas de LLM

Los modelos de lenguaje grandes se enfrentan a vectores de ataque únicos que la seguridad tradicional no puede abordar. ATLAS cataloga estas amenazas de forma sistemática.

Tabla: Tipos de amenazas LLM con mapeo ATLAS y métodos de detección

Tipo de amenaza Técnica ATLAS Método de detección Mitigación
Inyección directa inmediata AML.T0051.001 Análisis del patrón de entrada Desinfección de entradas, jerarquía de instrucciones
Inyección indirecta inmediata AML.T0051.002 Validación de la fuente del contenido Controles de fuentes de datos, entornos aislados
LLM jailbreaking AML.T0051 Supervisión del comportamiento de salida Barandillas, filtrado de salida
Manipulación de la ventana de contexto AML.T0051 Supervisión de la longitud del contexto Límites contextuales, resumen
Intoxicación por RAG AML.T0060 Comprobaciones de integridad de documentos Verificación de fuentes, controles de acceso

Los CVE recientes demuestran estas amenazas en la práctica:

  • CVE-2025-32711 (EchoLeak): Según el análisis de Hack The Box, esta vulnerabilidad de Microsoft Copilot permitía la filtración de datos sin necesidad de hacer clic mediante la inyección de comandos combinada con el reflejo de comandos.
  • CVE-2025-54135/54136 (CurXecute): Según informa BleepingComputer, la implementación MCP del IDE Cursor permitía la ejecución remota de código mediante inyección de comandos.

Las capacidades de detección y respuesta ante amenazas a la identidad ayudan a detectar intentos de robo de credenciales mediante la explotación de LLM.

Consideraciones de seguridad de la IA agencial

La actualización de ATLAS de octubre de 2025 aborda específicamente los agentes autónomos de IA, es decir, sistemas que pueden realizar acciones, acceder a herramientas y mantener el contexto entre sesiones. Entre las nuevas técnicas se incluyen:

  • AML.T0058 Envenenamiento del contexto del agente de IA: Inyectar contenido malicioso en la memoria del agente o en el contexto del subproceso.
  • AML.T0059 Desencadenantes de activación: Incorporación de desencadenantes que se activan en condiciones específicas.
  • AML.T0060 Datos de los servicios de IA: Extracción de información mediante la recuperación de la base de datos RAG.
  • AML.T0061 Herramientas para agentes de IA: Aprovechar el acceso a la herramienta del agente con fines maliciosos.
  • AML.T0062 Exfiltración mediante la invocación de la herramienta AI Agent: Uso de llamadas a herramientas legítimas para extraer datos.

Principios de seguridad para agentes de IA:

  1. Aplicar el privilegio mínimo a todos los permisos de las herramientas de los agentes.
  2. Implementar el «human-in-the-loop» para operaciones delicadas.
  3. Supervisar continuamente los cambios en la configuración del agente.
  4. Validar las configuraciones y conexiones del servidor MCP.
  5. Establecer bases de referencia del comportamiento de los agentes para la detección de anomalías.

Según las directrices sobre IA/OT de la CISA de diciembre de 2025, las organizaciones deben incorporar medidas de supervisión y seguridad para todos los sistemas de IA que operan en entornos críticos.

Enfoques modernos para la seguridad de la IA

El panorama de la seguridad de la IA evoluciona rápidamente, con la presión regulatoria y la colaboración de la industria impulsando la adopción de marcos normativos. Las organizaciones deben prepararse tanto para las amenazas emergentes como para los requisitos de cumplimiento normativo.

El programa MITRE Secure AI, respaldado por 16 organizaciones miembros, entre las que se incluyen Microsoft, CrowdStrike y JPMorgan Chase, se centra en ampliar ATLAS con observaciones del mundo real y agilizar el intercambio de incidentes relacionados con la IA.

Novedades normativas:

  • Ley de IA de la UE: Las obligaciones relativas a la IA de uso general (GPAI) entraron en vigor en agosto de 2025, exigiendo pruebas adversarias para los sistemas de IA con riesgo sistémico y protección de la ciberseguridad contra el acceso no autorizado.
  • Guía de la CISA: La publicación interinstitucional de diciembre de 2025 aborda la seguridad de la IA en entornos de tecnología operativa.

Las amenazas a la seguridad de la IA en 2025 muestran una aceleración continua, con un 87 % de las organizaciones que informan de su exposición a ciberataques impulsados por la IA, según un estudio del sector.

Cómo Vectra AI las amenazas de seguridad relacionadas con la inteligencia artificial

La metodología Attack Signal IntelligenceVectra AI aplica principios de detección basados en el comportamiento que se ajustan a los objetivos del marco ATLAS. Al centrarse en los comportamientos de los atacantes en lugar de en las firmas estáticas, las organizaciones pueden detectar las técnicas catalogadas en ATLAS, desde intentos de inyección inmediata hasta la exfiltración de datos a través de API de inferencia, en cloud híbrida.

Este enfoque permite a los equipos de seguridad identificar y priorizar las amenazas reales relacionadas con la IA, al tiempo que reduce el ruido de las alertas. La detección y respuesta de red, combinada con la detección de amenazas de identidad, proporciona visibilidad en toda la superficie de ataque a la que ahora se dirigen las amenazas de IA.

Más fundamentos de ciberseguridad

¿Qué es el Mishing y cómo funciona?

El mishing se aprovecha de la confianza en las comunicaciones móviles enviando mensajes de texto fraudulentos diseñados para robar credenciales, instalar malware o manipular a las víctimas para que realicen transacciones financieras.

Seguir leyendo
¿Qué es Zero Day?

Un zero-day es una vulnerabilidad desconocida hasta el momento en software o hardware que los hackers pueden explotar antes de que el desarrollador o fabricante haya tomado conciencia de ella ...

Seguir leyendo
¿Qué es la ingeniería social?

Los ataques de ingeniería social explotan la psicología humana para acceder a información confidencial. Descubra cómo se producen estos ataques, su impacto y cómo la seguridad basada en IA puede ayudar a detectarlos y prevenirlos.

Seguir leyendo
Falsificación de peticiones del lado del servidor: Cómo detectar la oleada de ataques del 452

Aprenda cómo los ataques SSRF explotan los metadatos de cloud , las estrategias de detección y las técnicas de prevención. Cobertura crítica de Oracle EBS CVE-2025-61882 incluida.

Seguir leyendo
¿Qué es IDS/IDPS?

Las soluciones IDS e IDPS utilizan una combinación de técnicas de detección basadas en firmas y en anomalías para analizar el tráfico de red y las actividades del sistema.

Seguir leyendo
Detección de puertas traseras: Detenga las amenazas ocultas antes de 393 días

Aprenda cómo funcionan los ataques de puerta trasera, sus tipos y métodos de detección. Incluye el panorama de las amenazas en 2025, la prevención basada en IA y la implantación de zero trust .

Seguir leyendo
¿Qué son las vulnerabilidades y exposiciones comunes?

Common Vulnerabilities and Exposures (CVE) es una lista normalizada de vulnerabilidades y exposiciones de ciberseguridad conocidas públicamente. El sistema CVE es esencial...

Seguir leyendo
¿Qué es una botnet? Cómo aprovechan los atacantes Malware

Una botnet es una red de dispositivos comprometidos utilizada por los ciberdelincuentes para ataques DDoS, robo de datos y fraude. Descubra cómo funcionan estas amenazas y las formas de prevenir las infecciones por botnet.

Seguir leyendo
Ataques en ciberseguridad: tipos, ejemplos y prevención

Aprenda qué son los exploits, cómo funcionan y cómo defenderse de ellos. Abarca los exploits de día cero, las cadenas de exploits, CISA KEV y las estadísticas de amenazas para 2025.

Seguir leyendo
Ver todos los fundamentos de la ciberseguridad

Preguntas frecuentes

¿Qué es MITRE ATLAS?

¿En qué se diferencia MITRE ATLAS de MITRE ATT&CK?

¿Cuántas tácticas y técnicas hay en MITRE ATLAS?

¿Qué es la inyección rápida en MITRE ATLAS?

¿Cómo utilizo MITRE ATLAS para el modelado de amenazas?

¿Qué herramientas ofrece MITRE ATLAS?

¿En qué se diferencia MITRE ATLAS de OWASP LLM Top 10?