Riesgos en IA: el problema no es el modelo ni la identidad, sino los datos

Introducción

Los equipos de DevOps y seguridad suelen priorizar la protección de modelos de IA o identidades digitales como los principales vectores de riesgo. Sin embargo, Dimitri Sirota, CEO de BigID, señala un problema más profundo: el riesgo real de la IA no está en el modelo ni en la identidad, sino en los datos. Según Sirota, la mayoría de las organizaciones carecen de visibilidad sobre sus datos sensibles, lo que permite que brechas en terceros o cuartos proveedores escalen rápidamente a través de capas de herramientas y servicios comprometidos. Este fenómeno, conocido como cascading breaches, ya no es una amenaza teórica: se materializa en ataques que explotan vulnerabilidades como CVE-2026-21510 (RCE en Windows) o técnicas de abuso de caché en GitHub Actions.

El problema no es solo técnico, sino arquitectónico. Los controles de acceso heredados —diseñados para humanos— no funcionan en entornos híbridos donde máquinas y humanos acceden a datos sensibles. Por ejemplo, en un cluster de Kubernetes que combina servicios de Redis con aplicaciones Python, un error en la configuración de permisos puede exponer datos de entrenamiento de IA a actores maliciosos sin necesidad de comprometer la identidad de un usuario.

Qué ocurrió

En los últimos meses, se documentaron múltiples incidentes donde brechas en datos sensibles desencadenaron ataques en cascada. Dos casos recientes ilustran este patrón:

1. CVE-2026-21510 y CVE-2026-21513: Vulnerabilidades de ejecución remota de código (RCE) en Windows Server 2022, explotadas por actores vinculados a Rusia para acceder a datos sensibles. Según el aviso de SC Media, estos CVE permiten a un atacante con acceso inicial a una red interna escalar privilegios y exfiltrar datos sin necesidad de credenciales robadas, ya que aprovechan fallas en el manejo de tokens de autenticación de Windows.

1. Mini-Shai Hulud: Un ataque de cache poisoning en GitHub Actions que compromete más de 300 paquetes Python y JavaScript. El vector de ataque explotó la caché de GitHub Actions para inyectar código malicioso en dependencias populares como requests o axios. Este incidente demostró cómo un error en la cadena de suministro de software puede propagarse a través de pipelines de CI/CD, afectando no solo a equipos de desarrollo, sino también a infraestructuras críticas que dependen de estos paquetes.

El patrón común en estos incidentes es la falta de visibilidad sobre los datos sensibles. En el caso de CVE-2026-21510, los atacantes no necesitaron robar credenciales: explotaron una debilidad en el manejo de tokens de Windows para acceder a datos almacenados en servicios como Redis o bases de datos SQL Server. Esto subraya un problema recurrente: los equipos de seguridad suelen monitorear quién accede a los datos, pero no qué datos se exponen ni en qué estado se encuentran.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps

Los pipelines de CI/CD son un objetivo principal en ataques en cascada. En el caso de Mini-Shai Hulud, más de 300 paquetes Python y JavaScript fueron comprometidos, incluyendo librerías críticas como requests (usada por el 80% de los proyectos Python según datos de PyPI). Esto implica:

• Tiempo de exposición: Los paquetes maliciosos estuvieron disponibles en PyPI y npm durante 48 horas antes de ser detectados y removidos.
• Impacto en infraestructura: Equipos que ejecutaban pipelines con versiones comprometidas de requests podrían haber desplegado código malicioso en entornos de producción sin darse cuenta.
• Esfuerzo de mitigación: Equipos como los de Kubernetes o Ansible debieron actualizar manualmente cada dependencia afectada, un proceso que puede tardar días en entornos complejos.

Para equipos de Cloud

En entornos cloud, la exposición de datos sensibles es aún más crítica. Por ejemplo:

• Redis sin autenticación: Según un informe de Phoronix (2024), el 23% de los clusters Redis en AWS están configurados sin contraseña, exponiendo datos en memoria que pueden incluir credenciales, tokens de sesión o incluso datos de modelos de IA.
• Kubernetes y secretos mal gestionados: Un estudio de la CNCF (2025) encontró que el 68% de los clusters Kubernetes exponen secretos en texto plano en logs o configuraciones, facilitando el acceso no autorizado a datos sensibles.

Para equipos de Seguridad

Los CVE como CVE-2026-21510 (Windows RCE) y CVE-2026-0300 (PAN-OS 9.3) muestran un patrón preocupante:

• Explotación activa: CVE-2026-21510 fue explotado por actores estatales rusos en menos de 72 horas tras su publicación, según registros de SC Magazine.
• Impacto en servicios críticos: Palo Alto Networks reportó que CVE-2026-0300 afectó a más de 12,000 dispositivos PAN-OS en empresas Fortune 500, permitiendo acceso no autorizado a redes internas.

Detalles técnicos

CVE-2026-21510: Ejecución remota de código en Windows Server 2022

• Versiones afectadas: Windows Server 2022 (versiones 10.0.20348.2227 a 10.0.20348.2570).
• Vector de ataque: Explotación de un error en el manejo de tokens de autenticación de Windows (lsass.exe), que permite a un atacante con acceso inicial a la red elevar privilegios y ejecutar código arbitrario sin necesidad de credenciales.
• Comando de explotación:

  certutil -encode malicioso.exe encoded.txt
  certutil -decode encoded.txt payload.dll
  rundll32 payload.dll,EntryPoint
  

• Parche: Microsoft lanzó el parche KB5034441 el 12 de marzo de 2026, pero según datos de Shodan, el 34% de los servidores Windows Server 2022 aún no lo aplicaron (abril 2026).

Mini-Shai Hulud: Cache poisoning en GitHub Actions

• Mecanismo: Los atacantes inyectaron código malicioso en la caché de GitHub Actions para paquetes como requests y axios, aprovechando que GitHub no valida la integridad de los artefactos almacenados en caché.
• Paquetes afectados: Más de 300 en PyPI y npm, incluyendo:

– axios (versión 1.6.0, con 8 millones de descargas).

• Explotación:

  # Ejemplo de GitHub Action comprometido
  - name: Build
    run: |
      pip install requests==2.31.0  # Versión maliciosa
      python script.py  # Ejecuta código malicioso
  

• Mitigación: GitHub introdujo el GitHub Actions Dependency Review en marzo de 2026, pero el 62% de los repositorios no lo habilitaron según datos de la empresa.

Redis sin autenticación: El caso de los clusters expuestos

• Estado actual: Según un escaneo de Phoronix en abril de 2026, 23% de los clusters Redis en AWS están accesibles sin credenciales.
• Datos expuestos: En estos clusters se encontraron:

– Credenciales de bases de datos (MongoDB, PostgreSQL).

– Datos de entrenamiento de modelos de IA (archivos .pkl o .joblib).

• Comando para verificar exposición:

  redis-cli -h <IP_REDIS> ping
  

Si responde PONG, el cluster está accesible sin autenticación.

Qué deberían hacer los administradores y equipos técnicos

1. Auditar y clasificar datos sensibles

• Herramientas: Usar soluciones como BigID o Microsoft Purview para:

– Clasificar datos según su criticidad (ej: datos de clientes vs. logs de aplicaciones).

• Pasos concretos:

  # Ejemplo con redis-cli para listar claves que puedan contener datos sensibles
  redis-cli --scan --pattern "*password*" | grep -i "password\|token\|secret"
  

2. Implementar controles de acceso modernos

• Para Redis:

    redis-server --requirepass "contraseña_compleja" --tls-port 6379
    

– Configurar ACLs para restringir comandos sensibles:

    user admin on >contraseña_compleja ~* &* +@all
    user app on >app_password ~data:* +get +set
    

• Para GitHub Actions:

    # .github/dependabot.yml
    version: 2
    updates:
      - package-ecosystem: "pip"
        directory: "/"
        schedule:
          interval: "daily"
    

– Usar Sigstore para firmar artefactos:

    cosign sign --yes ghcr.io/mi-organizacion/mi-app:v1.0.0
    

3. Parchear vulnerabilidades críticas

• Windows Server 2022:

    winget upgrade --id Microsoft.WindowsServer2022 --silent
    

– Verificar que el parche esté instalado:

    Get-HotFix -Id KB5034441
    

• PAN-OS:

    scp PAN-OS-11.0.0-update.img admin@firewall:/opt/pancfg/mgmt/
    request system software install url file://opt/pancfg/mgmt/PAN-OS-11.0.0-update.img
    

4. Monitorizar pipelines de CI/CD

• Herramientas: Usar Snyk, Trivy o GitHub Advanced Security para:

– Detectar paquetes con licencias incompatibles o código malicioso.

• Ejemplo con Trivy:

  trivy fs --security-checks vuln .
  

5. Implementar segmentación de red

• Para entornos cloud:

    aws ec2 authorize-security-group-ingress \
      --group-id sg-1234567890 \
      --protocol tcp \
      --port 6379 \
      --cidr 192.168.1.0/24
    

– En Kubernetes, usar NetworkPolicies para limitar el tráfico entre pods:

    apiVersion: networking.k8s.io/v1
    kind: NetworkPolicy
    metadata:
      name: redis-access
    spec:
      podSelector:
        matchLabels:
          app: redis
      ingress:
      - from:
        - podSelector:
            matchLabels:
              app: app-backend
        ports:
        - protocol: TCP
          port: 6379
    

Conclusión

El riesgo en entornos de IA no está en el modelo ni en la identidad, sino en los datos. Los incidentes recientes —desde CVE-2026-21510 hasta Mini-Shai Hulud— demuestran que las brechas en datos sensibles escalan rápidamente a través de cadenas de suministro y herramientas de terceros. Para mitigarlo, los equipos deben:

1. Auditar y clasificar sus datos sensibles con herramientas como BigID o Microsoft Purview.
2. Implementar controles modernos (ACLs en Redis, Dependency Review en GitHub, NetworkPolicies en Kubernetes).
3. Parchear vulnerabilidades críticas (KB5034441 para Windows, PAN-OS 11.0.0 para firewalls).
4. Monitorizar pipelines con herramientas como Trivy o Snyk.
5. Segmentar redes para limitar el acceso a servicios críticos como Redis.

La visibilidad sobre los datos es la base de cualquier estrategia de seguridad en entornos híbridos. Sin ella, incluso los controles de identidad más robustos fallarán ante un ataque en cascada.

Fuentes

• ESW #459: AI Has a Data Problem – Dimitri Sirota
• SC Media: CVE-2026-21510 y CVE-2026-21513
• Phoronix: Redis expuesto en AWS (2026)