Black Hat 2025: las nuevas amenazas que tu equipo de seguridad necesita conocer

Black Hat USA 2025 cerró su edición en Las Vegas con un mensaje claro: la superficie de ataque ya no es solo tu red, tus endpoints o tu cadena de CI/CD. Ahora también son los modelos de lenguaje, los agentes con acceso a herramientas y la cadena de suministro de pesos de modelos que descargas sin pensar.

Para los equipos de seguridad mexicanos que no pudieron asistir, hicimos el ejercicio de filtrar las decenas de talks y aterrizar las que más impacto van a tener en empresas medianas y grandes durante los próximos doce meses. Esto es lo que vimos.

1. Prompt injection avanzado: ya no es un truco de laboratorio

Durante 2024 el prompt injection se sentía como una curiosidad académica. En Black Hat 2025 quedó demostrado que es un vector de ataque maduro, con variantes que pasan los filtros de OpenAI, Anthropic y Google sin demasiada dificultad.

Lo más relevante fueron tres líneas de investigación:

• Indirect prompt injection desde documentos PDF, correos y páginas web que el LLM consume sin validación. Un atacante esconde instrucciones en un PDF "neutro" que tu agente descarga y termina ejecutando comandos a tu nombre.
• Multi-turn injection que requiere varias interacciones para activarse, evadiendo guardrails que solo evalúan el último mensaje.
• Tool poisoning donde el atacante manipula la descripción de una tool en un servidor MCP para alterar el comportamiento del agente sin tocar el modelo.

Si tu empresa ya tiene agentes en producción, estas no son amenazas teóricas. Son rutas de ataque que cualquier red team serio va a probar este año.

2. Exploits en agentes con acceso a tools

Los agentes que pueden ejecutar acciones, no solo responder texto, fueron protagonistas. Varias presentaciones mostraron cómo un agente con permisos de escritura sobre un repositorio, una base de datos o un sistema de tickets puede ser convertido en confused deputy con muy poco esfuerzo.

Los patrones que más nos preocuparon:

• Agentes que ejecutan código en el mismo entorno que tienen acceso a credenciales de producción.
• Agentes con acceso a email corporativo que pueden ser inducidos a exfiltrar contenido a una dirección externa.
• Agentes con conexión a Slack, Jira o GitHub que un atacante manipula desde un mensaje en un canal público.

La recomendación general fue contundente: trata a cada agente como un usuario humano nuevo y aplícale el principio de mínimo privilegio, separando credenciales por tarea y registrando cada acción ejecutada.

3. Supply chain de pesos de modelos

Una de las charlas con más impacto vino del lado de la cadena de suministro de modelos. Los investigadores demostraron cómo se puede inyectar comportamiento malicioso directamente en pesos de modelos abiertos publicados en Hugging Face y otros repositorios, sin que las pruebas estándar lo detecten.

Esto importa para empresas mexicanas por una razón simple: muchas están adoptando Llama, Mistral, DeepSeek y Qwen para correr en infraestructura propia, y descargan los pesos sin validar firma digital, hash o procedencia. Un modelo "envenenado" puede comportarse normalmente en el 99% de los casos y activar comportamiento malicioso solo ante un trigger específico.

Lo mínimo que vemos como obligatorio:

1. Verificar hash y firma digital de cada modelo descargado.
2. Mantener un registro de procedencia (model provenance) interno.
3. Ejecutar pruebas con prompts de canary para detectar comportamiento anómalo.
4. Aislar la inferencia de modelos no verificados en sandboxes.

4. Side-channel en GPU compartido

Si tu empresa usa GPU en la nube (AWS, GCP, Azure o proveedores especializados como Lambda), el tema de side-channel attacks en GPU compartido merece atención. Investigadores presentaron resultados donde un workload puede inferir información de otro workload corriendo en la misma GPU física, incluyendo fragmentos de prompts y outputs.

El riesgo no es alto para la mayoría de las empresas, pero es real para sectores con datos sensibles: salud, banca y gobierno. Si tu empresa cae en esa categoría, la conversación con tu proveedor cloud sobre GPU dedicada o enclaves confidenciales dejó de ser opcional.

5. Implicaciones para el CISO mexicano

Para los CISOs y líderes de seguridad en México, vemos cuatro frentes inmediatos a abrir:

• Inventario de superficie IA. Listar agentes, modelos y tools en uso. La mayoría de las empresas no sabe qué tiene corriendo.
• Sanitización de inputs. Validar y filtrar todo lo que entra a un LLM, especialmente contenido externo (PDFs de proveedores, correos, scraping web).
• Sandboxing de agentes. Cada agente con permisos de ejecución debe correr en un entorno aislado, con credenciales propias y logs auditables.
• Segregación de cuentas. El usuario humano y el agente IA no deben compartir credenciales ni roles.

A esto sumamos algo que parece obvio pero pocas empresas hacen: incluir prompt injection y exploits de agentes en el alcance de los pentests anuales. Si tu proveedor de seguridad no sabe qué es MCP, qué es indirect prompt injection o cómo auditar un agente con tools, es momento de cambiar de proveedor o sumar uno especializado.

Mitigaciones que recomendamos arrancar este Q3

Si tuviéramos que ordenar por impacto y costo, este sería el plan de los próximos 60 días:

1. Inventario de agentes y modelos en la organización (semana 1-2).
2. Política de procedencia de modelos: nadie descarga pesos sin verificar firma (semana 2-3).
3. Aislamiento de agentes con tools: separar credenciales y entornos (semana 3-6).
4. Pentest específico de IA: probar prompt injection, tool poisoning y exfiltración (semana 6-8).

Black Hat siempre adelanta lo que va a ser noticia en seis a doce meses. Las empresas mexicanas que actúan ahora se ahorran el incidente que va a salir en los reportes de 2026.

---

¿Quieres revisar tu superficie de ataque IA? Te ayudamos. En ALCA hacemos assessments enfocados a entornos con LLMs y agentes en producción. Agenda una llamada de 30 minutos y conversamos.