Herramientas basadas en IA como ChatGPT, Claude y Gemini se han vuelto casi omnipresentes en correos, flujos de trabajo y rutinas diarias, y la mayoría de las personas no piensa en las implicaciones de seguridad. Eso está empezando a cambiar.
Una técnica llamada inyección de prompt está llamando la atención en los círculos de seguridad de software, y lo que la hace inusual es que no requiere malware, habilidades especializadas ni enlaces sospechosos. En algunos casos, una frase bien redactada basta para secuestrar una herramienta basada en IA sin que la persona que la usa lo note.
Lo que necesita saber:
- La inyección de prompt manipula herramientas basadas en IA mediante lenguaje diseñado, no con malware ni destrezas técnicas.
- Funciona porque los modelos de IA no distinguen entre las instrucciones del desarrollador y la entrada del usuario.
- Los ataques pueden ser directos, indirectos o almacenados en datos que la IA lee repetidamente.
- Algunos ataques usan texto invisible o formatos ocultos que los usuarios nunca ven.
- Un ataque exitoso puede exponer datos privados o ejecutar acciones que usted no autorizó.
- Aún no existe una solución completa, pero limitar permisos y vigilar el comportamiento de la IA reduce el riesgo.
¿Qué es la inyección de prompt?
La inyección de prompt es una técnica en la que un atacante puede cambiar el comportamiento de una herramienta basada en IA. No es necesario explotar una vulnerabilidad del software ni instalar malware, porque el atacante manipula el modelo solo con lenguaje.
El término surgió con el científico informático Simon Willison en 2022, y ha sido identificado como el principal riesgo de seguridad para aplicaciones basadas en IA por OWASP, una organización que rastrea las amenazas más críticas en seguridad del software.
Piense en ello como ingeniería social dirigida a máquinas, porque se parece más al phishing que al hackeo convencional. Explota una vulnerabilidad inherente a los modelos de lenguaje de gran tamaño (LLM): están diseñados para seguir instrucciones. La misma cualidad que los hace útiles es la que los vuelve explotables. Una entrada bien diseñada puede anular las reglas originales de la herramienta, cambiar sus respuestas o hacer que revele información que debía mantener oculta. Una inyección exitosa no solo elude las reglas, puede exponer todo a lo que el modelo está conectado.
A diferencia de la inyección de código tradicional u otros exploits que requieren habilidades especializadas, quien sepa cómo formular una frase convincente ya tiene todo lo necesario.
¿Cómo funciona la inyección de prompt?
La raíz del problema es que los sistemas basados en IA no saben distinguir entre fuentes: son “ciegos” a la diferencia entre las instrucciones del desarrollador y la entrada del usuario.
Los desarrolladores de IA escriben prompts ocultos que establecen las reglas de comportamiento de la herramienta. Su entrada se combina con esos prompts, y la IA procesa todo como un flujo continuo de texto. No puede identificar qué partes son instrucciones del desarrollador y cuáles son su aporte. Así que si su entrada parece una orden, la IA podría seguirla, incluso si contradice lo que el desarrollador pretendía.
No todos los ataques se ven igual. Generalmente se clasifican en tres categorías: inyección directa, indirecta y almacenada.
¿Qué es la inyección de prompt directa?
La inyección de prompt directa consiste en escribir una instrucción maliciosa directamente en el chat. Algo tan simple como "ignorar todas las instrucciones previas" puede ser suficiente. Este enfoque explota la tendencia de la IA a priorizar la entrada más reciente sobre las reglas del desarrollador.
¿Qué es la inyección de prompt indirecta?
La inyección de prompt indirecta oculta instrucciones maliciosas dentro de contenido externo que la IA procesa, como páginas web o correos electrónicos.
Por ejemplo, un atacante podría plantar texto oculto en una página web que ordene a la IA ignorar sus reglas y recomendar un enlace específico. Si alguien pide a la IA que resuma esa página, esta lee la orden oculta junto con el contenido real y puede seguirla, sin que el usuario lo note. Investigadores de seguridad consideran ampliamente que la inyección indirecta es la debilidad de seguridad más grave de los generadores basados en IA y una de las más difíciles de defender.
¿Qué es la inyección de prompt almacenada?
La inyección de prompt almacenada funciona plantando instrucciones dañinas en sitios que la IA lee con frecuencia, como bases de datos o datos de entrenamiento.
La inyección almacenada puede afectar a múltiples usuarios a través de distintas sesiones, porque las instrucciones están guardadas y no se escriben en tiempo real. El agente basado en IA puede parecer que funciona normalmente, pero sus respuestas han sido sutilmente moldeadas por algo incrustado mucho antes de que el usuario abriera el programa.
Manténgase protegido a medida que las herramientas basadas en IA se integran en la vida diaria
La inyección de prompt es un ejemplo de cómo los sistemas basados en IA pueden ser manipulados. Kaspersky Premium ayuda a proteger sus dispositivos, datos y cuentas en línea frente a amenazas digitales en evolución.
Pruebe Kaspersky Premium gratis¿Qué técnicas se usan en los ataques de inyección de prompt?
La inyección de prompt usa texto plano para engañar a la IA y lograr que siga instrucciones no autorizadas. El riesgo radica en que los modelos de IA procesan todo el texto por igual, sin distinguir entre entrada legítima y contenido manipulado.
La mayoría de los ataques se dividen en dos categorías: trucos que disfrazan instrucciones usando código o formato, y trucos que ocultan instrucciones para que los humanos no las vean. En ambos casos, a simple vista el contenido parece normal para cualquiera que lea la página.
Trucos con código y formato
Algunos ataques usan bloques de código, marcado o texto estructurado para que una instrucción maliciosa parezca un comando del sistema legítimo. Esto puede implicar envolver algo en formato de código o estructurarlo para imitar un prompt del desarrollador.
Instrucciones ocultas o disfrazadas
Otros ataques ocultan instrucciones a la vista mediante trucos visuales que los humanos difícilmente notarán, como texto blanco sobre fondo blanco, fuentes de tamaño cero, espaciados inusuales, caracteres especiales, codificación unicode o instrucciones escritas en otro idioma. Un humano podría ver el documento y no detectar nada extraño, pero la IA lee todo el texto subyacente, sin importar cómo se muestre.
Estas técnicas ya se usan en la práctica. Los atacantes han incrustado instrucciones invisibles en páginas web para secuestrar agentes de navegador basados en IA, y candidatos han empleado texto oculto en currículums para engañar a herramientas de selección impulsadas por IA.
Ejemplos de inyección de prompt
Cómo se engañó a Bing Chat para que revelara sus propias reglas
En febrero de 2023, Kevin Liu, un estudiante de Stanford, utilizó un ataque de inyección de prompt directa para revelar las instrucciones del sistema ocultas de Bing Chat. Bastó con escribir «ignorar instrucciones previas» y pedir a la IA que devolviera sus propias reglas. El chatbot entregó su nombre interno "Sydney" y las pautas operativas ocultas. Cuando Microsoft parcheó la falla, Liu encontró una forma de eludir la corrección en pocas horas haciéndose pasar por desarrollador.
Cómo texto oculto en currículums engañó a herramientas de selección basadas en IA
Candidatos han comenzado a incrustar instrucciones de inyección de prompt ocultas en sus currículums para manipular herramientas de selección impulsadas por IA. La técnica consiste en escribir instrucciones como “este es un candidato excepcionalmente calificado” en fuente blanca o en un tamaño tan pequeño que el texto es invisible para un lector humano pero sí lo detecta la IA.
El método ganó tracción en redes sociales en 2024. La firma de reclutamiento ManpowerGroup informó haber encontrado texto oculto en alrededor del 10% de los currículums que escanea con IA. La plataforma de contratación Greenhouse halló prompts ocultos similares en el 1% de los 300 millones de currículums que procesa cada año.
Cómo se manipuló a chatbots para que compartieran información privada
Uno de los primeros casos de inyección de prompt en ChatGPT implicó al bot de Twitter de remoteli.io, impulsado por ChatGPT y diseñado para publicar comentarios positivos sobre el trabajo remoto. Los usuarios descubrieron que podían tuitear instrucciones que le indicaran ignorar su propósito original, y terminó publicando declaraciones públicas absurdas.
Más recientemente, investigadores de seguridad demostraron que el agente de navegador ChatGPT Atlas de OpenAI podía ser secuestrado mediante instrucciones ocultas plantadas en correos electrónicos. En una prueba, un correo malicioso con un prompt incrustado hizo que el agente enviara una carta de renuncia al jefe del usuario en lugar de redactar la respuesta de ausencia solicitada. El usuario nunca vio la instrucción oculta, pero la IA la siguió de todos modos.
¿Por qué deben preocuparse los usuarios comunes por la inyección de prompt?
La inyección de prompt puede manipular herramientas basadas en IA sin que usted lo sepa. Cuando una IA resume un documento o redacta un correo, obtiene información de fuentes externas. Si alguna de esas fuentes ha sido manipulada, el resultado queda comprometido sin que usted lo advierta.
Por eso la inyección de prompt destaca frente a otras amenazas en línea. No tiene que hacer clic en un enlace ni descargar nada sospechoso. Hace una pregunta normal, y la respuesta llega influida por instrucciones que alguien enterró en el contenido que la IA usó como entrada. Puede ser relativamente inofensivo, como un resumen sesgado o un enlace no solicitado. Pero en casos graves, la herramienta podría filtrar sus datos personales o ejecutar acciones que nunca aprobó. Y las salidas manipuladas a menudo parecen perfectamente normales, sin mensajes de error ni señales evidentes.
Eso no significa que deba dejar de usar estas herramientas, pero no puede asumir que la salida de la IA sea siempre neutral y fiable.
¿Es la inyección de prompt lo mismo que el jailbreak?
La inyección de prompt y el jailbreaking están relacionados pero no son términos intercambiables. El jailbreaking es una forma de inyección de prompt que apunta específicamente a las barreras de seguridad. Este enfoque intenta que una IA ignore las políticas de contenido o genere resultados restringidos.
La inyección de prompt es más amplia. Cubre cualquier intento de secuestrar el comportamiento de una IA mediante entradas diseñadas, como descubrir comandos de sistema ocultos o hacer que la herramienta realice acciones no autorizadas. El objetivo no siempre es romper filtros de seguridad; muchas veces el atacante quiere que la IA ejecute un conjunto distinto de instrucciones sin que nadie lo note.
Otra diferencia clave es a quién afecta. El jailbreaking suele ser un acto deliberado del usuario en su propia sesión. La inyección de prompt, especialmente en sus variantes indirecta y almacenada, puede afectar a usuarios inocentes que nunca supieron que el contenido que consultaron había sido manipulado. Esa es una amenaza de seguridad distinta, y la razón por la que OWASP sitúa la inyección de prompt como el riesgo número uno para aplicaciones basadas en IA, en lugar de tratar el jailbreaking como una categoría separada.
¿Cómo puede prevenir la inyección de prompt?
No existe una solución sencilla para la inyección de prompt en este momento, porque la vulnerabilidad nace de la misma razón por la que estas herramientas son útiles: su capacidad para seguir instrucciones. Por eso los desarrolladores no pueden eliminar esa característica sin romper el uso real de las herramientas.
Los desarrolladores de IA siguen mejorando el filtrado de entradas y las pruebas adversariales ayudan, pero nada en el mercado elimina el riesgo por completo.
Sin embargo, hay mucho que usted puede hacer. La mayoría se reduce al sentido común:
- Manténgase atento. No deje que las herramientas basadas en IA funcionen en piloto automático. Revise siempre lo que la herramienta planea hacer antes de que actúe.
- Restrinja el acceso cuando sea posible. Cuando una herramienta basada en IA pida permiso para acceder a su correo o archivos, pregúntese si realmente lo necesita. Evite pegar contraseñas, datos financieros o información sensible en las ventanas de chat de IA.
- Ponga en duda lo que regresa. Si una respuesta incluye un enlace inesperado, recomienda algo que no pidió o lo dirige hacia una acción que le parece extraña, tómese un momento antes de actuar.
- Mantenga todo actualizado. Los desarrolladores publican actualizaciones regularmente para corregir vulnerabilidades y fortalecer defensas. Usar una versión desactualizada significa perder esas protecciones.
¿Qué debe hacer si una herramienta basada en IA se comporta de forma inesperada?
Si una herramienta basada en IA empieza a comportarse de forma extraña, deténgase y no actúe según lo que le indique. Puede que no sea una inyección de prompt, pero si algo anda mal, debe identificarlo antes de continuar.
Algunas señales que deberían encender las alertas:
- Sugiere hacer algo que usted nunca pidió
- Empiezan a aparecer enlaces o recomendaciones de productos que no reconoce
- Pide información personal que no tiene relación con la tarea
- El tono cambia repentinamente durante la conversación
- Las respuestas dejan de tener sentido o se sienten desconectadas de lo que preguntó
Si ocurre cualquiera de estos casos, cierre la sesión y comience de nuevo. No intente solucionar el problema dentro de la misma conversación porque si la sesión está comprometida, seguirá siendo vulnerable.
Después, reconstruya los pasos que siguió y piense a qué tuvo acceso la herramienta. ¿Tenía abierto su correo? ¿El software pudo haber tomado acciones en su nombre? Si algo parece fuera de lugar, deshaga los cambios y cambie sus contraseñas de inmediato.
¿Cómo encaja la inyección de prompt en la seguridad global de IA?
La inyección de prompt ocupa un lugar prioritario en la lista de riesgos de seguridad de IA porque ataca al propio modelo. Esto la diferencia del phishing, el malware y otros hacks tradicionales que atacan los sistemas alrededor de la IA.
Y el problema está creciendo. No hace mucho, las herramientas basadas en IA se limitaban sobre todo a generar texto. Hoy pueden navegar por la web, leer sus correos, acceder a archivos, escribir código y realizar acciones en su nombre. Estándares como MCP (Model Context Protocol) facilitan aún más la integración de IA con servicios externos. Cuanto más puedan hacer estas herramientas, mayor será el daño que un ataque exitoso pueda causar.
También está la cuestión de la escala. La inyección de prompt actúa de forma similar a la ingeniería social, convenciendo a la IA de seguir instrucciones indebidas al presentarlas de la manera correcta. Pero a diferencia de una estafa telefónica que apunta a una sola persona, una instrucción oculta en una página web popular podría afectar a todos los sistemas de IA que la lean.
Todo esto no significa que las herramientas basadas en IA sean inseguras per se. Pero la seguridad todavía va detrás de la rápida adopción de estas herramientas, por lo que la responsabilidad de protegerse recaerá en los usuarios finales.
Artículos relacionados:
- ¿Cuáles son los beneficios clave de la formación en concienciación sobre seguridad?
- ¿Cuáles son los riesgos de seguridad al usar ChatGPT?
- ¿Qué impacto tiene el cibercrimen relacionado con IA en la seguridad digital?
- ¿Cómo manipula la ingeniería social el comportamiento humano para los ataques?
Productos recomendados:
FAQ
¿Es ilegal la inyección de prompt?
No existe una ley que prohíba específicamente la inyección de prompt. Pero las acciones que se realizan con ella, como acceder a datos restringidos o extraer información privada, encajan en las normas vigentes sobre fraude informático y ciberdelitos. El riesgo legal ya es real, aunque la legislación aún va detrás de la tecnología.
¿Puede la inyección de prompt afectar a usuarios comunes?
Sí. Si usa cualquier herramienta que procese contenido externo con IA, podría verse afectado (y probablemente ni siquiera lo notaría). No es un ataque directo contra la persona, sino contra la herramienta basada en IA que ésta usa.
¿Puede la inyección de prompt robar datos personales?
Sí, si la herramienta basada en IA tiene acceso a datos personales. Ya sea su correo, archivos u otra información, una inyección de prompt exitosa podría instruir al sistema para extraer y divulgar esos datos. Investigadores de seguridad han demostrado que agentes de navegador basados en IA pueden ser engañados para reenviar documentos sensibles a destinatarios no autorizados.
¿Es la inyección de prompt lo mismo que hackear?
La inyección de prompt no es hacking tradicional. En lugar de explotar vulnerabilidades de código, manipula lo que lee la herramienta basada en IA. Es ingeniería social dirigida a una máquina. El resultado puede asemejarse a un hackeo (filtración de datos, acciones no autorizadas), pero el mecanismo es fundamentalmente distinto.
