Inteligencia Artificial

Cada empresa que usa IA es un McKinsey en potencia

By Rodrigo Rojo

Share

Un agente autónomo tardó dos horas y costó veinte dólares. Eso fue suficiente para abrir de par en par la base de datos de producción de McKinsey: 46,5 millones de conversaciones internas, 728.000 archivos de clientes, los system prompts que controlan el comportamiento de su IA —y acceso de escritura para modificarlos sin dejar rastro visible.

El incidente ya fue cubierto en detalle en nuestra nota inicial sobre el hackeo a Lilli. Pero hay una pregunta que ese tipo de cobertura no responde: ¿qué dice este incidente sobre el resto de las empresas que hoy despliegan plataformas de IA, no sobre McKinsey?

La respuesta es incómoda: si McKinsey —con miles de ingenieros, políticas de seguridad formales y recursos virtualmente ilimitados— terminó con un agente de IA externo con acceso de lectura y escritura a sus datos más sensibles, cualquier empresa que esté construyendo o adoptando herramientas de IA enfrenta el mismo vector de riesgo. La diferencia es que McKinsey lo supo porque alguien quiso avisarle. En la mayoría de los casos, nadie avisará.

IA para el Resto de Nosotros

La nueva versión de mi curso estrella para aprender a usar la IA de forma práctica, simple y útil en tu día a día. Comienza el 24 de marzo.

→ Inscríbete hoy 🚀

El problema no fue la IA: fue la velocidad de adopción

Un análisis técnico publicado por Promptfoo —la empresa que OpenAI adquirió hace días precisamente por su especialización en seguridad de agentes— fue categórico: el incidente de Lilli es un fallo de seguridad de aplicaciones que afecta a un sistema de IA, no un jailbreak ni una vulnerabilidad del modelo de lenguaje. Las causas raíz son completamente predecibles.

La cadena de ataque del agente de CodeWall siguió cuatro pasos clásicos: documentación de API expuesta públicamente con 22 endpoints sin autenticación, inyección SQL por concatenación insegura de claves JSON, escalada de privilegios mediante IDOR (referencia directa a objetos inseguros), y acceso total de lectura y escritura a producción. No hay nada exótico aquí. Estas son vulnerabilidades que llevan décadas documentadas en el OWASP Top 10.

Lo que cambió es la velocidad de explotación. Un auditor humano podría tardarse semanas en mapear 200 endpoints de API. El agente autónomo de CodeWall lo hizo en minutos, encadenó los fallos y escaló privilegios sin intervención humana. La IA no creó vulnerabilidades nuevas: amplificó dramáticamente la capacidad de encontrar y explotar las que ya existían.

El hallazgo que nadie esperaba: los system prompts son activos críticos

Más allá del volumen de datos expuesto, el detalle que más preocupó a los expertos en seguridad fue la accesibilidad de los system prompts con permisos de escritura sobre la base de datos.

Un atacante con acceso de escritura podría haber reescrito silenciosamente las instrucciones que gobiernan el comportamiento de Lilli con una simple sentencia UPDATE en una llamada HTTP. Las implicaciones van mucho más allá de robo de datos: modelos financieros envenenados, recomendaciones estratégicas manipuladas, exfiltración silenciosa de información a través de las propias respuestas de la IA, sin dejar rastros en logs tradicionales.

Esto redefine qué es un activo crítico en una empresa que opera con IA. Los prompts del sistema no son texto de configuración: son tan valiosos y tan vulnerables como cualquier base de datos de producción. En la mayoría de las empresas hoy, no reciben ni una fracción del rigor de control que sí tienen los datos financieros.

Este es exactamente el tipo de riesgo que la Regla de Dos de Meta intenta mitigar: ningún agente debería poder leer inputs no confiables y modificar estado sensible en la misma operación. McKinsey no tenía ese tipo de barrera.

Lo que esto significa si estás construyendo con IA hoy

La tesis central del incidente es sencilla de formular y difícil de aceptar: la velocidad con que las empresas adoptan IA está superando sistemáticamente su madurez en seguridad. McKinsey lo ilustró con un ejemplo de libro de texto. Pero la brecha entre velocidad de adopción y madurez de seguridad no es un problema exclusivo de grandes consultoras.

Si estás desplegando una plataforma de IA hoy —ya sea un chatbot interno, un agente de soporte, un sistema RAG con documentos propietarios— las preguntas relevantes no son “¿somos tan grandes como McKinsey para ser un objetivo?”. Son más básicas:

  • ¿Todos los endpoints de tu API requieren autenticación, sin excepciones y sin entornos de desarrollo expuestos públicamente?
  • ¿Usas prepared statements en todas las consultas que involucran la capa de IA, o en algún punto concatenas parámetros directamente?
  • ¿Dónde están almacenados los system prompts de tus agentes? ¿Tienen acceso de escritura las credenciales que usa la aplicación en producción?
  • ¿Cuándo fue la última vez que alguien intentó activamente explotar la infraestructura de tu plataforma de IA?

El costo de un agente ofensivo como el de CodeWall hoy es de 20 dólares en tokens. El incentivo para atacar plataformas con datos de usuarios, conversaciones estratégicas o acceso a sistemas internos es alto y creciente. El mercado de herramientas de seguridad ofensiva basadas en IA se está democratizando al mismo ritmo que el mercado de herramientas de construcción.

Tres medidas concretas que se pueden tomar esta semana

El incidente de Lilli no requiere un rediseño de arquitectura completo para extraer valor práctico. Hay acciones concretas de bajo costo y alto impacto que cualquier equipo técnico puede priorizar:

Auditar la documentación pública de API. Revisar qué endpoints están visibles sin autenticación, qué información interna revela la documentación disponible públicamente, y eliminar o proteger todo lo que no debería ser accesible. El agente de CodeWall encontró el camino inicial a través de documentación expuesta, no de una vulnerabilidad sofisticada.

Separar los system prompts de las bases de datos operacionales. Los prompts que controlan el comportamiento de tus agentes deberían estar en almacenes de secretos (HashiCorp Vault, AWS Secrets Manager, equivalentes) con acceso de solo lectura para la aplicación en producción, control de versiones, y auditoría de cambios. Si hoy están en una tabla de base de datos con las mismas credenciales que usan los agentes, eso es un problema.

Hacer red teaming específico para la infraestructura de IA. Las pruebas de penetración tradicionales no cubren los vectores específicos de plataformas de IA: manipulación de prompts, encadenamiento de herramientas, ataques sobre el contexto de los agentes. Como señalamos al analizar los principios de ciberseguridad para founders, el factor humano y la falta de controles básicos siguen siendo la puerta de entrada principal en el 80% de las brechas. Con IA, esa puerta se abre más rápido.

La respuesta de McKinsey y lo que no resuelve

McKinsey actuó correctamente una vez notificada: parcheó los endpoints vulnerables al día siguiente, desconectó el entorno de desarrollo expuesto y bloqueó la documentación pública de la API. Una investigación forense de terceros no encontró evidencia de acceso malicioso real a datos de clientes.

Pero la velocidad de la respuesta no cancela el problema estructural que el incidente reveló: la plataforma fue construida y desplegada a escala —más de 43.000 empleados— con vulnerabilidades básicas que cualquier proceso de revisión de seguridad debería haber detectado. La pregunta no es si McKinsey puede arreglarlo. La pregunta es cuántas plataformas similares, con menos recursos y menos visibilidad, tienen los mismos problemas sin saberlo.

La ironía del incidente es significativa: fue el propio agente de CodeWall quien identificó a McKinsey como objetivo al escanear información públicamente disponible, incluyendo la política de divulgación responsable de la empresa. Una IA encontró la vulnerabilidad sola. Eso ya no es un experimento de laboratorio.

Fuentes

Rodrigo Rojo
Rodrigo Rojohttp://descubre.ai

Tabla de contenidos [hide]

Leer más

Otras noticias