Investigadores de seguridad han advertido que los agentes de inteligencia artificial pueden ser manipulados para actuar como botnets mediante la explotación de sus "alucinaciones". Este hallazgo cambia la forma en que entendemos la seguridad de los sistemas automatizados, con implicaciones directas para quienes operan con criptomonedas.

Un equipo de investigadores ha demostrado que es posible inyectar instrucciones maliciosas en agentes AI aprovechando su tendencia a generar información falsa o inventada (las llamadas alucinaciones). En lugar de limitarse a cometer errores inocentes, estos agentes pueden ser redirigidos para ejecutar comandos que los convierten en nodos de una red de bots.

El mecanismo es más retorcido de lo que parece. Los atacantes no necesitan vulnerar directamente el sistema central del agente. Basta con contaminar las fuentes de datos que el agente consume (webs, documentos, APIs) con prompts ocultos que el modelo interpreta como instrucciones legítimas. El agente, alucinando, ejecuta esas órdenes pensando que forma parte de su respuesta normal.

Para mí, lo más inquietante no es la técnica en sí (los ataques de inyección de prompts no son nuevos). Es que ahora hablamos de agentes autónomos que pueden tomar decisiones sin supervisión humana directa. Si un bot de trading AI recibe la orden de "transferir todos los fondos a esta wallet" camuflada en un documento que está procesando, no va a preguntar. Va a ejecutar.

Qué está pasando exactamente

Un equipo de investigadores ha demostrado que es posible inyectar instrucciones maliciosas en agentes AI aprovechando su tendencia a generar información falsa o inventada (las llamadas alucinaciones). En lugar de limitarse a cometer errores inocentes, estos agentes pueden ser redirigidos para ejecutar comandos que los convierten en nodos de una red de bots.

El mecanismo es más retorcido de lo que parece. Los atacantes no necesitan vulnerar directamente el sistema central del agente. Basta con contaminar las fuentes de datos que el agente consume (webs, documentos, APIs) con prompts ocultos que el modelo interpreta como instrucciones legítimas. El agente, alucinando, ejecuta esas órdenes pensando que forma parte de su respuesta normal.

Ejemplo real

Piensa en esto como un caballo de Troya moderno. No necesitas colarte en el servidor. Infectas los datos de los que se alimenta el agente. El agente, confiado, abre la puerta él solito.

Y ojo, no hablo de ciencia ficción. Ya hay casos documentados de agentes AI que han sido engañados para comprar productos, revelar credenciales o ejecutar código no deseado. Lo nuevo aquí es la capacidad de escalar ese engaño para formar redes coordinadas de bots.

Por qué importa para el ecosistema cripto

La conexión con las criptomonedas no es casual. Los agentes AI ya se usan para automatizar trading, gestionar carteras, interactuar con contratos inteligentes y hasta para análisis de mercado. Si esos agentes pueden ser convertidos en botnets, el riesgo se multiplica.

Imagina un agente AI que gestiona un pool de liquidez en DeFi. Un atacante logra que el agente alucine una instrucción para drenar los fondos a una dirección controlada por él. O un bot de snipeo de NFTs que, manipulado, empieza a pujar en subastas fraudulentas. O un sistema de análisis que, alucinando, recomienda comprar un token que en realidad es una trampa de liquidez.

Qué deberías hacer (y qué no)

Primero, lo obvio: no confiar ciegamente en agentes AI para operaciones que manejen valor real. Por muy sofisticado que sea un bot de trading, sigue siendo un programa que puede ser manipulado.

Segundo, auditar las fuentes de datos que alimentan a tus agentes. Si tu agente AI se basa en feeds de Twitter, webs externas o documentos sin verificar, estás dando la bienvenida a cualquier atacante que pueda contaminar esas fuentes. La trazabilidad de la información que consume tu AI debería ser tan rigurosa como la de tus transacciones. Puedes considerar servicios de contabilidad y trazabilidad para asegurarte de que tus operaciones estén debidamente documentadas.

Tercero, aplicar el principio de mínimos privilegios. El agente AI no debería tener acceso directo a tus wallets, exchanges o claves privadas. Si un agente necesita ejecutar trades, que lo haga a través de una API limitada, con controles de gasto diario y autorización manual para operaciones grandes.

Punto clave

Un agente AI no debería poder vaciar tu wallet. Si puede hacerlo, el problema no es la alucinación, es tu arquitectura de seguridad.

Cuarto, monitorizar el comportamiento de los agentes. Si de repente tu bot de análisis empieza a generar recomendaciones extrañas o a conectarse a direcciones que no reconoces, es señal de alerta. La alucinación no siempre es obvia; a veces se manifiesta como un cambio sutil en el patrón de decisiones.

Lo que no deberías hacer es entrar en pánico y desterrar la AI de tu vida cripto. Los agentes AI son herramientas útiles, igual que lo son los contratos inteligentes o las wallets. El riesgo no está en la tecnología, está en cómo la desplegamos sin las salvaguardas adecuadas.

Qué no sabemos aún

Aquí toca ser honesto: la investigación sobre este ataque concreto está en fase temprana. No sabemos qué proporción de agentes AI comerciales son vulnerables a este tipo de manipulación a gran escala. Tampoco está claro si los modelos más avanzados (como los que usan los grandes exchanges) tienen defensas internas contra este tipo de inyección.

Otra incógnita es cómo evolucionarán las defensas. Los desarrolladores de modelos AI ya trabajan en técnicas para detectar y bloquear prompts maliciosos, pero es una carrera de armamentos. Cada nueva defensa genera un nuevo bypass.

Y hay una pregunta que me ronda: si los agentes AI pueden ser convertidos en botnets, ¿podrían también ser utilizados para defender otras redes? Un botnet de agentes AI limpios podría coordinarse para identificar y neutralizar ataques en tiempo real. Pero eso abre otro melón: ¿quién controla a esos agentes defensores?

Lo que sí sabemos es que la seguridad en cripto no es estática. Cada nueva herramienta trae consigo nuevas superficies de ataque. La pregunta no es si aparecerán vulnerabilidades, sino si estamos preparados para detectarlas a tiempo.

Si tus operaciones generan ganancias o pérdidas, y te preocupa cómo declarar correctamente estas operaciones en un entorno de riesgo elevado, un especialista como Solcrip puede ayudarte con la trazabilidad y la documentación necesaria para mantener todo en orden. Puedes visitar nuestra página de servicios para más información.

¿Tú qué crees? ¿Confiarías tu cartera a un agente AI sabiendo que puede alucinar una orden de vaciado?