La quincena en contexto

Los sistemas de inteligencia artificial ya no son cajas de texto que responden preguntas. Son procesos persistentes con acceso a credenciales, herramientas de red, sistemas de ficheros y pipelines de recuperación de información. Esa transición, de chatbot a agente autónomo, es exactamente lo que convierte los problemas de seguridad de esta quincena en algo distinto a los de hace dos años.

Los doce trabajos que componen esta edición no son independientes entre sí. Forman un mapa de una superficie de ataque que se expande en todas las direcciones a la vez: la cadena de suministro de skills para agentes, el secuestro del razonamiento en sistemas RAG, la inyección de prompts a través de sensores físicos de robots, el reconocimiento silencioso de guardarraíles de producción, y la detección automatizada de vulnerabilidades lógicas en código. Cada uno de estos vectores existía antes de los LLM en alguna forma. Lo que cambia es la velocidad, la escala y, sobre todo, el hecho de que el componente que toma decisiones ahora es un modelo de lenguaje que puede ser manipulado semánticamente.

Esta edición de ciberseguridad e inteligencia artificial recorre esos vectores uno a uno, con los datos que los autores reportan y con la lectura de riesgo que corresponde a cada uno.

Panorama de un vistazo

TecnicaQue haceMadurez del riesgoFuenteFecha
SkillCloak / SkillDetonateEvasión de escáneres de skills y detección en tiempo de ejecuciónDemostrado en laboratorio con 1.613 muestras realesJi et al.2026-07-02
Falsificación de documentos con IA generativaSíntesis y manipulación de documentos de identidad con herramientas GenAIApoyado en vectores ya conocidos (deepfake documental)Das et al.2026-07-01
SMT (Simulated Moderation Traces)Jailbreak en LLM con llamadas a funciones mediante trazas de moderación simuladasDemostrado en laboratorio sobre LLM comercialesLiu et al.2026-07-01
KidnapRAGSecuestro del razonamiento multi-paso en sistemas RAG agénticosDemostrado en laboratorio con múltiples frameworksChoi et al.2026-07-01
SafeClawArenaBenchmark de seguridad para agentes tipo Claw con cuatro superficies de ataqueDemostrado en laboratorio (plataformas reales replicadas)Niu et al.2026-06-29
MESAPriorización de canales de comunicación vulnerables en sistemas multi-agenteDemostrado en laboratorio con ocho topologías de redLi et al.2026-06-29
RIPAInyección de prompts a través del pipeline sensorial de robots ROS 2Demostrado en laboratorio (100 ejecuciones por variante)Dorzhiev2026-06-26
Reconocimiento de guardarraíles (Hackett & Garraghan)Detección black-box de la presencia y categorías de un guardarraílDemostrado en laboratorioHackett & Garraghan2026-07-02
EvoVulnDetección automatizada de vulnerabilidades en contratos inteligentes con conocimiento procedimental evolutivoDemostrado en laboratorio (cinco tipos de vulnerabilidad reales)Sun et al.2026-07-02
Survey GenAI + FL para IDSRevisión estructurada de técnicas generativas y aprendizaje federado para detección de intrusionesTeórico a futuro (survey, no experimento propio)Liu et al.2026-07-01
AntaeusDetección de vulnerabilidades lógicas a nivel de repositorio con razonamiento LLM contextualizadoDemostrado en laboratorio (28 repositorios con CVE confirmados)Armillotta et al.2026-07-01
MinosRastreo forense backward de APTs mediante agentes LLM sobre grafos de procedenciaDemostrado en laboratorio (14 escenarios, cinco datasets)Wang et al.2026-07-01

SkillCloak y SkillDetonate: cuando el escáner no ve lo que ejecuta

Los agentes LLM modernos se construyen sobre marketplaces de skills de terceros, fragmentos de código que el agente instala y ejecuta con sus propios privilegios. Ji, Xu, Li, Gao, Wei, Wang y Cheung presentan un estudio adversarial sobre esa cadena de suministro que parte de una pregunta directa: ¿aguantan los escáneres existentes si el atacante adapta la apariencia del payload sin cambiar su comportamiento?

La respuesta, según el trabajo, es que no. Los autores desarrollan SkillCloak, un marco de evasión que preserva la semántica del ataque mientras transforma su forma visible. Utilizan dos estrategias complementarias. La primera, Structural Obfuscation, reescribe los indicadores visibles del payload en formas semánticamente equivalentes. La segunda, Self-Extracting Skill (SFS) Packing, oculta los componentes maliciosos en el momento de instalación y los restaura durante la ejecución del agente. Sobre ocho escáneres y 1.613 skills maliciosas reales, los autores reportan que SFS Packing evade todos los escáneres con una tasa superior al 90%, mientras que Structural Obfuscation supera el 80% en la mayoría de escáneres estáticos y alcanza el 96% en un escáner híbrido.

Frente a ese resultado, los mismos autores proponen SkillDetonate, un auditor de comportamiento en tiempo de ejecución que ejecuta las skills en un sandbox y detecta efectos maliciosos mediante evidencia de flujo de información en el límite del sistema operativo. Combina lo que denominan on-demand closure lift, que observa instrucciones materializadas durante la ejecución, con análisis de contaminación basado en marcadores que rastrea flujos de datos sensibles a través del contexto del agente, ficheros, procesos y operaciones de red. Los autores reportan una detección del 97% de los ataques con una tasa de falsos positivos del 2%, y un 87% de detección sobre skills maliciosas del mundo real.

Desde la perspectiva del editor, esta técnica encaja directamente con la categoría LLM05 (Insecure Plugin Design) del OWASP Top 10 for LLM Applications y con la táctica de compromiso de la cadena de suministro de MITRE ATLAS. El vector es clásico: software de terceros con privilegios excesivos. Lo que cambia es que el componente que decide si ejecutar ese software es un LLM que razona sobre texto, no un sistema operativo que verifica firmas. Sobre las cifras: el 97% de detección de SkillDetonate proviene de un entorno de laboratorio controlado. En un despliegue real, con skills legítimas de comportamiento variable y ruido de red, la tasa de falsos positivos del 2% puede traducirse en un volumen de alertas considerable. Los autores lo reconocen implícitamente al reportar por separado el 87% sobre muestras del mundo real, que es el número más honesto de los dos.

Paper: Ji et al., arXiv 2607.02357

Falsificación de documentos de identidad: la brecha entre el benchmark y el despliegue

Das, Kumar y Ramachandra presentan lo que describen como el primer tratamiento unificado de los ataques a documentos de identidad dentro de un único modelo de amenaza: ataques de presentación física, inyección digital y síntesis completamente generativa. El punto de partida del survey es una observación sobre capacidades: las herramientas de IA generativa actuales permiten síntesis de documentos de alta fidelidad y manipulación a nivel de campo con una experiencia técnica mínima, mientras que los métodos de detección siguen evaluándose con benchmarks que no reflejan esa realidad.

El trabajo traza la evolución de los métodos de detección desde heurísticas basadas en reglas hasta modelos fundacionales y frameworks de few-shot, y audita sistemáticamente los datasets públicos entre 2019 y 2025. Los autores identifican lo que denominan Reality Gap: una brecha persistente entre las condiciones de benchmark y el despliegue operacional. Identifican además un modo de fallo específico en modelos multimodales grandes al procesar documentos con escrituras no latinas, al que llaman Script-Dependent Generative Instability (SDGI), un fallo tipográfico recurrente en el inpainting de texto no latino. En benchmarking zero-shot sobre tarjetas de identidad sintetizadas no vistas previamente, los autores reportan que incluso los modelos públicos más potentes alcanzan valores de APCER superiores al 25% bajo condiciones operacionales orientadas a seguridad.

Para el editor, este trabajo documenta un vector que ya opera en producción: la falsificación documental con IA generativa no es una amenaza futura, es una capacidad disponible hoy con herramientas de acceso público. El APCER superior al 25% en condiciones realistas es un número que cualquier sistema de verificación de identidad debería tener presente. El encuadre en MITRE ATLAS apunta a la táctica de evasión mediante datos adversariales, aplicada aquí al dominio físico-digital de la identidad. La cifra del 25% merece contexto: proviene de condiciones de operación orientadas a seguridad, es decir, umbrales conservadores, lo que hace el resultado más preocupante, no menos.

Paper: Das et al., arXiv 2607.01442

SMT: jailbreak a través de las trazas de moderación simuladas

Liu, Wang, Luo y Jia parten de una observación estructural sobre los LLM con llamadas a funciones (function-calling): en esos entornos, los esquemas definidos por el desarrollador, los argumentos estructurados y las salidas de herramientas no confiables se entrelazan en un único contexto compartido del modelo. Esa arquitectura, según los autores, difumina la frontera entre lógica de control confiable y datos no confiables, y permite distribuir la intención adversarial a lo largo de un camino de ejecución multi-turno.

Sobre esa vulnerabilidad estructural construyen SMT (Simulated Moderation Traces), un marco de ataque black-box que construye una trayectoria multi-turno que simula un flujo de trabajo legítimo de auditoría de moderación. Dentro de esa trayectoria, un marco de moderación fabricado utiliza el pretexto de pruebas de red team para elicitar generaciones dañinas. El feedback de validación posterior trata los rechazos de seguridad como fallos de ejecución, lo que provoca refinamientos que debilitan progresivamente las restricciones de seguridad del modelo. Los autores reportan que SMT logra consistentemente la mayor tasa de éxito de ataque promedio y el mayor HarmScore en evaluaciones sobre LLM comerciales de cinco proveedores distintos en dos benchmarks de seguridad estandarizados, con un número de consultas cercano al mínimo entre los métodos comparados.

Esta técnica es un ejemplo directo de LLM01 (Prompt Injection) del OWASP Top 10 for LLM Applications, pero con una dimensión adicional: el ataque no opera sobre el prompt inicial sino sobre el estado acumulado de la conversación y los metadatos de las llamadas a funciones. Desde la perspectiva del editor, el vector más preocupante no es el jailbreak en sí, sino la demostración de que la sanitización a nivel de prompt es insuficiente cuando el modelo tiene acceso a herramientas y mantiene estado entre turnos. Las cifras de éxito no se detallan numéricamente en el abstract más allá de «la mayor tasa promedio», lo que limita la comparación directa, pero el hecho de que funcione sobre cinco proveedores distintos sugiere que la vulnerabilidad es estructural, no específica de un modelo.

Paper: Liu et al., arXiv 2607.00481

KidnapRAG: secuestrar el razonamiento paso a paso

Los sistemas RAG agénticos (Retrieval-Augmented Generation con capacidad de razonamiento iterativo) se consideran más robustos frente a ataques de envenenamiento que los RAG clásicos, precisamente porque pueden ignorar documentos débilmente relevantes y preservar la cadena de razonamiento original. Choi, Kim, Lee, Chun, Jeong, Kim, Oh, Jang y Chang cuestionan esa robustez desde un escenario black-box realista: el atacante solo puede publicar documentos externos recuperables, sin acceso a los prompts del sistema, las trazas de razonamiento, el recuperador ni los parámetros del modelo.

Los autores proponen KidnapRAG, un ataque de envenenamiento secuencial que secuestra la cadena de razonamiento multi-paso del agente mediante tres documentos con roles específicos. El primero, Bait, atrae la recuperación inicial. El segundo, Chain-Link, induce la reformulación de la consulta. El tercero, Mal-Ins, proporciona evidencia controlada por el atacante. Los experimentos sobre múltiples frameworks de RAG agéntico, distintos LLM como backbone y varios benchmarks muestran, según los autores, que KidnapRAG supera consistentemente las líneas base de envenenamiento existentes en condiciones black-box. Los análisis adicionales indican que el ataque debilita progresivamente la intención de recuperación original, redirige el comportamiento de recuperación y aumenta la dependencia de la evidencia controlada por el atacante.

Desde el encuadre del editor, KidnapRAG opera sobre la táctica de envenenamiento de datos de MITRE ATLAS, pero con una particularidad: no envenena el modelo ni el índice de forma permanente, sino que manipula el proceso de razonamiento en tiempo de ejecución a través de documentos recuperables. Eso lo hace difícil de detectar con las defensas habituales de integridad del índice. La ausencia de cifras concretas de tasa de éxito en el abstract impide valorar la magnitud exacta, pero la arquitectura del ataque, tres documentos coordinados que explotan la reformulación de consultas, es conceptualmente sólida y merece atención en cualquier despliegue RAG con acceso a fuentes externas no controladas.

Paper: Choi et al., arXiv 2607.00422

SafeClawArena: los agentes persistentes como sistemas operativos sin protección

Niu, Qu, Gu, Shi, Li, Tawaha, Alzahrani, Siu, Li, Wang, Zhang, Alomair, Jin, Chen, Wang, Spanos y Song adoptan una analogía de sistemas informáticos para analizar los agentes de tipo Claw (como OpenClaw): procesos siempre activos con acceso persistente a credenciales, ficheros, herramientas y servicios externos. Los autores tratan el runtime del agente como un sistema operativo, las Skills como aplicaciones instaladas por el usuario y los Plugins como extensiones cargables con privilegios en tiempo de ejecución. Cada componente tiene un equivalente clásico cuyos mecanismos de protección, refinados durante décadas, están ausentes en el lado del agente.

Desde ese marco, desarrollan SafeClawArena, un benchmark de 406 tareas adversariales sobre cuatro superficies de ataque: integridad de la cadena de suministro de Skills, explotación de estado persistente, flujo de datos entre componentes y prompt injection indirecta. Las tareas se ejecutan en réplicas en contenedores de plataformas reales con credenciales marcadas y evaluación mediante rastreo de contaminación automatizado sobre nueve canales de salida. Los autores evalúan tres plataformas (OpenClaw, NemoClaw, SeClaw) y cinco LLM de frontera. Los resultados reportados muestran que la tasa de éxito de ataque más alta alcanza el 70%, y que los Plugins maliciosos tienen éxito en el 100% de los casos independientemente del LLM. SeClaw reduce la tasa de éxito de ataque de GPT-5.4 del 70% al 22%, aunque los autores señalan que esto se debe en parte a compromisos entre utilidad y seguridad más que a defensas activas. Claude-Opus-4.6 se sitúa ya cerca del 22% en todas las plataformas.

El 100% de éxito de los Plugins maliciosos es la cifra más llamativa del trabajo y merece el matiz del editor: proviene de un entorno de laboratorio con tareas diseñadas para ser adversariales. En producción, la variabilidad de los Plugins legítimos y las restricciones de red pueden alterar ese número. Aun así, la analogía OS que proponen los autores es útil como marco de análisis: si los Plugins son extensiones con privilegios en tiempo de ejecución, el modelo de amenaza debería incluir revisión de código, firma digital y sandboxing, exactamente lo que se aplica a extensiones de navegador o módulos de kernel. Desde MITRE ATLAS, el vector de Plugins maliciosos encaja con el compromiso de dependencias de terceros.

Paper: Niu et al., arXiv 2606.30755

MESA: no todos los canales de un sistema multi-agente valen lo mismo

Li, Domico, Gregory y McDaniel parten de una observación empírica sobre los sistemas multi-agente (MAS): el impacto de un ataque a nivel de canal es muy no uniforme. Según los autores, un único canal comprometido puede representar hasta el 75% del éxito total del ataque. Esa concentración del riesgo es la motivación de MESA, un framework sin etiquetas para priorizar de forma proactiva qué canales de comunicación entre agentes son más críticos desde el punto de vista de seguridad, antes de observar ataques.

MESA combina seis métricas de teoría de grafos con dos sondas dinámicas (ablación y enmascaramiento) sin requerir trazas de ataque previas. Los autores lo evalúan contra un pipeline de ataque de desinformación dinámica en tres escenarios MAS distintos, ocho topologías de red y cinco LLM de código abierto de las familias Qwen, Llama y Gemma. Los rankings de MESA correlacionan con la tasa de éxito de ataque por canal, con una correlación de Spearman media de +0.60 (máximo de +0.73). En despliegue de defensa con recursos limitados, monitorizar el 10% superior de los canales priorizados por MESA intercepta aproximadamente tres veces más ataques exitosos que una asignación aleatoria.

Para el editor, MESA aborda un problema práctico real: los equipos de seguridad no pueden monitorizar todos los canales de un MAS complejo con la misma intensidad. La capacidad de priorizar sin necesidad de trazas de ataque previas es valiosa en despliegues nuevos. La correlación de Spearman de +0.60 es estadísticamente significativa pero no perfecta, lo que significa que habrá canales de alto riesgo que MESA no priorice y canales de bajo riesgo que sí. El 10% de canales que captura tres veces más ataques es un resultado de laboratorio con topologías controladas; en grafos de alta redundancia, los propios autores señalan que el rendimiento se degrada.

Paper: Li et al., arXiv 2606.30602

RIPA: inyección de prompts a través de los sentidos del robot

Dorzhiev presenta RIPA, descrito como el primer estudio empírico multi-canal sistemático de ataques de inyección de prompts entregados a través del pipeline sensorial de un robot controlado por LLM basado en ROS 2. El trabajo evalúa 100 ejecuciones independientes por variante de inyección sobre cinco LLM que abarcan cuatro familias de modelos y escalas de parámetros desde aproximadamente 4B hasta aproximadamente 284B: DeepSeek-V4-Flash, Llama-3-8B-Instruct-Lite, Llama-3.3-70B-Instruct-Turbo, Qwen 2.5-7B-Instruct-Turbo y Gemma-3n-E4B.

El autor introduce tres canales de inyección sensorial: visual (Canal 1, mediante OCR), audio (Canal 2, mediante Whisper STT) y envenenamiento del contexto del sensor LiDAR (Canal 3). El Canal 3, que inyecta datos de obstáculos fabricados en la representación del estado del entorno del robot a nivel del system prompt del LLM, alcanza el 100% de tasa de éxito de ataque en todas las variantes sobre DeepSeek-V4-Flash. El trabajo identifica perfiles de vulnerabilidad específicos por modelo que no siguen una tendencia monótona de escala: Llama-3.3-70B-Instruct-Turbo exhibe el 100% de tasa de éxito en todas las variantes de inyección, mientras que Llama-3-8B-Instruct-Lite y Qwen 2.5-7B-Instruct-Turbo resisten la inyección de anulación directa con 0% de tasa de éxito, y el modelo más pequeño evaluado (Gemma-3n-E4B, aproximadamente 4B) iguala el perfil de vulnerabilidad del modelo de 70B.

El autor propone un firewall semántico híbrido que alcanza 0% de tasa de éxito contra patrones de inyección conocidos sin falsos positivos en un conjunto preliminar de 20 comandos benignos, pero exhibe una tasa de bypass del 10.2% (58 de 570 pruebas) contra ataques adversarialmente ofuscados sobre 19 payloads de ofuscación.

Desde la perspectiva del editor, este trabajo es el más relevante para sistemas de robótica industrial y autónoma. El encuadre en OWASP LLM es LLM01 (Prompt Injection), pero la dimensión física lo distingue: un robot que actúa sobre datos LiDAR fabricados no genera texto dañino, genera movimiento físico potencialmente peligroso. La falta de monotonía en la escala del modelo es un resultado importante: no se puede asumir que un modelo más grande es más seguro. El 100% de tasa de éxito en laboratorio sobre el Canal 3 merece el matiz habitual: las condiciones de laboratorio no incluyen el ruido de sensores reales ni las validaciones de plausibilidad que un sistema de control robusto debería tener.

Paper: Dorzhiev, arXiv 2606.28649

Reconocimiento de guardarraíles: saber qué te bloquea antes de atacarlo

Hackett y Garraghan abordan un problema práctico en la emulación adversarial black-box de sistemas de IA en producción: distinguir si un rechazo proviene del guardarraíl externo o del alineamiento de seguridad interno del LLM. Esa distinción importa porque las técnicas para evadir un guardarraíl difieren sustancialmente de las que se usan para evadir el alineamiento del modelo.

Los autores proponen la primera metodología de reconocimiento de guardarraíles en modo black-box, que detecta la presencia de un guardarraíl mediante monitorización de señales HTTP, léxicas y de temporización, asumiendo únicamente acceso black-box y cero conocimiento previo del guardarraíl o del sistema de IA. Los experimentos reportan que el enfoque detecta la presencia de guardarraíles con un 100% de precisión, con separación comportamental estadísticamente significativa entre interacciones benignas y maliciosas (q < 0.001). El método identifica además las categorías de contenido que el guardarraíl está diseñado a bloquear, y distingue bloqueos de guardarraíl de rechazos del LLM en prompts no vistos con una puntuación F1 media del 98%.

Para el editor, esta técnica es una capacidad de reconocimiento previo al ataque, lo que en MITRE ATLAS corresponde a la fase de descubrimiento del sistema objetivo. El 100% de precisión y el F1 del 98% son cifras de laboratorio que merecen contexto: los guardarraíles evaluados son los disponibles en el momento del estudio, y los proveedores actualizan sus sistemas con frecuencia. Aun así, el vector conceptual es sólido: si un atacante puede determinar de forma fiable qué tipo de defensa enfrenta antes de seleccionar la técnica de evasión, el coste de ataque se reduce significativamente. Desde el lado del defensor, esto sugiere que los guardarraíles deberían diseñarse para minimizar las diferencias de comportamiento observable entre bloqueos y rechazos normales.

Paper: Hackett & Garraghan, arXiv 2607.02121

EvoVuln: detección de vulnerabilidades en contratos inteligentes con conocimiento procedimental evolutivo

Sun, Liu, Li, Zhang, Cao, Guo y Liu parten de una caracterización del problema: las vulnerabilidades en contratos inteligentes son predominantemente bugs lógicos cuya detección requiere conocimiento procedimental estructurado de patrones de ataque y semántica del contrato. Los métodos LLM existentes tienen dificultades para generar ese conocimiento automáticamente: los métodos basados en prompts dependen de reglas de detección construidas manualmente, mientras que el fine-tuning requiere datasets etiquetados masivos que son escasos en este dominio.

Los autores presentan EvoVuln, un framework que reformula la detección de vulnerabilidades como un problema de evolución de conocimiento procedimental, sintetizando y refinando lógica de detección con un número mínimo de muestras etiquetadas. El sistema introduce una arquitectura Runtime con Inversión de Control (IoC) que compila reglas de detección en Políticas Ejecutables, desacoplando el flujo de control determinista del razonamiento semántico del LLM. Un pipeline de evolución en dos fases refina la regla mediante depuración semántica abductiva sin actualizaciones de parámetros: Cold Start arranca y prueba bajo presión una regla inicial con casos esquina auto-sintetizados; Few-Shot Evolving ancla la política en semántica del mundo real usando solo cinco ejemplos vulnerables y cinco seguros por tipo de vulnerabilidad. Evaluado sobre cinco tipos de vulnerabilidad reales, EvoVuln alcanza un F1 macro promedio del 71%, superando todas las líneas base. Los autores reportan además que el conocimiento procedimental evolucionado es portable entre modelos: permite a un modelo ligero y de bajo coste superar a un modelo mucho mayor en modo zero-shot por 19 puntos porcentuales, y se transfiere a otros LLM sin reentrenamiento, con un coste de evolución único inferior a 50 dólares.

Desde la perspectiva del editor, EvoVuln es una herramienta defensiva, no un vector de ataque. Su relevancia en esta edición es que aborda un punto ciego real: la detección de vulnerabilidades lógicas en contratos inteligentes, donde los fallos tienen consecuencias financieras directas e irreversibles. El F1 del 71% es un resultado sólido para un dominio con escasez de datos etiquetados, pero implica que aproximadamente tres de cada diez vulnerabilidades del tipo evaluado no se detectan. En producción, ese margen requiere revisión humana complementaria.

Paper: Sun et al., arXiv 2607.01742

Survey GenAI y aprendizaje federado para detección de intrusiones

Liu, Tayeen, Kumar, Gong, Jiang, Cao, Misra y Harikumar presentan una revisión estructurada de las técnicas de IA generativa y aprendizaje federado (FL) aplicadas a sistemas de detección de intrusiones (IDS). El trabajo parte de los desafíos persistentes del campo: los comportamientos de ataque evolucionan, los datasets realistas son difíciles de obtener, los registros de tráfico pueden estar incompletos, las clases de ataque son desequilibradas y las restricciones de privacidad limitan la recolección centralizada de datos.

Los autores identifican que los modelos generativos pueden apoyar la detección de anomalías, la generación de tráfico sintético, el aumento de datos, la imputación de datos, la generación de tráfico adversarial y la explicación de alertas IDS. El aprendizaje federado permite el entrenamiento distribuido de IDS sin compartir directamente el tráfico de red local. El survey categoriza las aplicaciones de IA generativa en IDS según familias de modelos y objetivos de tarea, cubriendo modelos basados en autoencoders, GANs, modelos de difusión y LLM. Los autores identifican desafíos abiertos que incluyen la calidad de los datos sintéticos, la generación de tráfico realista, los riesgos de doble uso de los métodos adversariales, las distribuciones no IID de clientes federados, el intercambio eficiente de modelos en comunicación, el benchmarking de IDS federado y los LLM específicos de dominio para seguridad de red.

Para el editor, este survey es una referencia de estado del arte más que una amenaza inmediata. Su valor en esta edición es el encuadre del problema de doble uso: las mismas técnicas generativas que mejoran la detección de intrusiones pueden usarse para generar tráfico adversarial que evade esos mismos detectores. Ese riesgo de doble uso, que los propios autores señalan como desafío abierto, es el punto que merece más atención en un contexto operacional.

Paper: Liu et al., arXiv 2607.01305

Antaeus: vulnerabilidades lógicas que el escáner de funciones no ve

Armillotta, Romandini, Montanari y Cavallaro parten de una distinción importante: los detectores de vulnerabilidades basados en LLM han mostrado resultados prometedores en bugs de seguridad de memoria y clases de vulnerabilidad cuyas violaciones pueden expresarse mediante propiedades de seguridad establecidas. Las vulnerabilidades lógicas son un problema diferente, porque su identificación requiere inferir invariantes de seguridad específicos de la aplicación y suposiciones implícitas sobre el comportamiento esperado. Incluso los modelos agénticos de frontera tienen dificultades porque esos invariantes están implícitos y enterrados entre código no relacionado.

Los autores presentan Antaeus, un framework para detectar vulnerabilidades lógicas que ancla el razonamiento del LLM en el contexto del código a nivel de repositorio. El sistema sigue un pipeline a escala de repositorio que combina priorización de funciones, razonamiento contextualizado, validación comparativa e informes estructurados. Prioriza funciones usando señales de seguridad ligeras a escala del repositorio, dirigiendo el análisis LLM costoso hacia el código relevante. Para cada función priorizada, combina el contexto local del código con una vista a nivel de repositorio de la funcionalidad de la aplicación, los recursos de seguridad y los límites de confianza. Identifica sumideros sensibles a la seguridad, deriva condiciones de seguridad para la ejecución segura y comprueba si se satisfacen localmente. Los hallazgos candidatos pasan por validación comparativa que elimina los que reflejan normas del proyecto en lugar de violaciones distintivas. Evaluado sobre 28 repositorios con vulnerabilidades lógicas confirmadas, Antaeus detecta y explica 15 vulnerabilidades, superando las líneas base con un uso de tokens y coste comparables.

Desde la perspectiva del editor, Antaeus aborda un punto ciego real de las herramientas de análisis estático tradicionales: las vulnerabilidades lógicas que no violan ninguna regla sintáctica pero sí violan la intención del diseño. El resultado de 15 sobre 28 repositorios, algo más del 53%, es honesto: no es un detector perfecto, pero supera a los modelos de referencia. La validación comparativa que elimina hallazgos que reflejan normas del proyecto es un mecanismo de reducción de falsos positivos conceptualmente interesante que merece seguimiento en evaluaciones independientes.

Paper: Armillotta et al., arXiv 2607.01138

Minos: rastreo forense de APTs con agentes LLM sobre grafos de procedencia

Wang, Li, Wang, Shen y Zhang presentan Minos, un framework multi-agente que formula el rastreo backward basado en procedencia como un proceso de razonamiento dirigido por LLM. El contexto es el análisis forense post-intrusión de amenazas persistentes avanzadas (APTs): reconstruir escenarios de ataque trazando causalidad desde alertas de seguridad. Los métodos existentes, según los autores, dependen de características estadísticas de bajo nivel y estrategias de recorrido rígidas, lo que limita su capacidad para capturar la intención adversarial de alto nivel y provoca explosión de dependencias.

Minos adopta una arquitectura de dos niveles. Para el análisis a nivel de evento, combina gestión jerárquica de contexto, razonamiento aumentado por recuperación con verificación de citas y deliberación adversarial. Para la exploración del grafo, coordina cuatro agentes especializados bajo una máquina de estados finitos (FSM), reemplazando el recorrido exhaustivo con razonamiento guiado por hipótesis y protocolos de consulta count-first para podar eficientemente el espacio de búsqueda. Los experimentos sobre 14 escenarios de ataque en cinco datasets públicos muestran, según los autores, un recall promedio de 0.92 y una precisión de 0.64, superando significativamente las líneas base del estado del arte, mientras produce subgrafos de ataque un 49% más compactos. El sistema genera además razonamiento interpretable a lo largo del proceso de rastreo.

Para el editor, Minos es una herramienta defensiva para equipos de respuesta a incidentes. El recall de 0.92 es el número que importa en forense: perder el 8% de los nodos de un ataque APT puede significar dejar un vector de persistencia sin identificar. La precisión de 0.64 implica que aproximadamente un tercio de los nodos incluidos en el subgrafo son ruido, lo que requiere revisión humana. La compacidad del 49% es valiosa en la práctica: los grafos de procedencia de APTs reales pueden tener millones de nodos, y reducir el espacio de análisis a la mitad es una ganancia operacional real.

Paper: Wang et al., arXiv 2607.00440

Qué defender

La lectura transversal de estos doce trabajos apunta a una conclusión que el editor considera central: la mayoría de los vectores de ataque documentados en esta quincena no son nuevos en su naturaleza, son nuevos en su superficie. La cadena de suministro de software, el envenenamiento de datos, la inyección de código, el reconocimiento previo al ataque: todo eso existía antes de los LLM. Lo que cambia es que el componente que media entre el atacante y el sistema objetivo ahora razona en lenguaje natural, y eso abre vectores de manipulación semántica que los controles clásicos no cubren.

Triaje por inminencia. Los vectores que merecen atención inmediata son tres. Primero, las skills maliciosas en marketplaces de agentes: SkillCloak demuestra que los escáneres estáticos existentes son eludibles con técnicas de ofuscación conocidas, y el vector opera sobre plataformas de agentes que ya están en producción. Segundo, el jailbreak en LLM con llamadas a funciones (SMT): cualquier sistema que exponga herramientas a un LLM y mantenga estado entre turnos es potencialmente vulnerable, y la técnica funciona sobre LLM comerciales de múltiples proveedores. Tercero, el reconocimiento de guardarraíles: si un atacante puede determinar con alta fiabilidad qué tipo de defensa enfrenta antes de seleccionar la técnica de evasión, el coste de los ataques subsiguientes se reduce. Estos tres vectores se apoyan en arquitecturas ya desplegadas. KidnapRAG, RIPA y SafeClawArena son también preocupantes, pero requieren condiciones más específicas (sistemas RAG agénticos con fuentes externas no controladas, robots LLM en producción, o agentes tipo Claw con Plugins de terceros). Las vulnerabilidades de documentos de identidad con IA generativa ya operan en producción según el survey, pero la defensa es un problema de benchmarking y generalización, no de un ataque nuevo. EvoVuln, Antaeus y Minos son herramientas defensivas cuya madurez operacional requiere validación independiente.

Qué hacer mañana. Para quien gestiona un sistema con agentes LLM, las medidas de corto plazo más concretas son las siguientes. Auditar qué skills o plugins de terceros tienen acceso a credenciales o red, y aplicar el principio de mínimo privilegio antes de que exista un escáner perfecto: SkillCloak demuestra que los escáneres actuales no son suficientes, pero restringir los privilegios de ejecución reduce el impacto aunque el escáner falle. Para sistemas con llamadas a funciones y estado multi-turno, implementar validación de contexto acumulado, no solo del prompt inicial: SMT explota precisamente que la sanitización se aplica al primer mensaje pero no al estado conversacional. Para sistemas RAG con fuentes externas, monitorizar la deriva de las consultas de recuperación entre pasos de razonamiento: KidnapRAG opera redirigiendo esas consultas progresivamente. Para cualquier despliegue con guardarraíles, considerar que el comportamiento diferencial entre bloqueos y rechazos normales es observable desde fuera: reducir esa diferencia es una medida de hardening de bajo coste. Y para equipos de respuesta a incidentes que trabajan con grafos de procedencia, Minos ofrece una dirección de automatización que vale la pena seguir, con la advertencia de que un recall del 92% en forense de APTs requiere siempre revisión humana del 8% restante.

Metodología y fuentes

Esta edición se basa exclusivamente en los abstracts de doce preprints publicados en arXiv entre el 26 de junio y el 2 de julio de 2026, todos de acceso público. Los preprints de arXiv no han pasado revisión por pares formal en el momento de esta publicación. Todos los hechos, cifras y resultados se atribuyen explícitamente a los autores de cada trabajo. El análisis de encuadre en marcos como OWASP Top 10 for LLM Applications y MITRE ATLAS, las valoraciones de madurez del riesgo y las recomendaciones defensivas son criterio editorial de La AutopsIA y no afirmaciones de los papers. No se han alterado datos ni se ha añadido información externa a los abstracts proporcionados.

Curado por La AutopsIA.

Cierre

La analogía que propone SafeClawArena, tratar un agente persistente como un sistema operativo sin décadas de hardening, es probablemente la imagen más útil que deja esta quincena: no porque sea nueva, sino porque hace visible exactamente qué falta y dónde buscar los controles que ya sabemos que funcionan.


La AutopsIA del Riesgo | Ciberseguridad e Inteligencia Artificial. Serie quincenal de La AutopsIA. Reúne y analiza la investigación reciente en seguridad de la inteligencia artificial: recopila trabajos de fuentes abiertas, los explica en claro y los sitúa en el mapa de amenazas, sin alterar ni un dato. Curado por La AutopsIA.