Saltar al contenido

El prompt injection ahora también defiende: ‘context bombs’ frenan a la IA atacante

Tracebit usa prompt injection para disparar los guardrails de la IA atacante y reducir su éxito casi 90%.

por Alejandro Castillo Leone
El prompt injection ahora también defiende: ‘context bombs’ frenan a la IA atacante
Photo by Jakub Żerdzicki / Unsplash

TL;DR:

  • Tracebit creó "canarios" con una context bomb: un texto corto que dispara los filtros de seguridad de los agentes de IA ofensivos y frena su ataque.
  • En 152 corridas dentro de un rango simulado de AWS, los agentes lograron al menos un objetivo en 91% de los casos sin la trampa y en solo 15% con ella.
  • El disparador cambia según el modelo: los occidentales caen con temas biológicos delicados y los chinos con temas políticamente sensibles en China.

Un equipo de investigadores le acaba de dar la vuelta al arma favorita de los atacantes que usan inteligencia artificial. La firma de ciberseguridad Tracebit presentó en julio de 2026 una técnica llamada context bombs: cadenas de texto cortas, escondidas dentro de señuelos, diseñadas para activar los filtros de seguridad de los propios agentes de IA que los atacantes emplean para hackear sistemas. En un entorno de pruebas que imitaba una infraestructura corporativa en la nube, plantar una sola de esas cadenas redujo cerca de 90% la tasa de éxito de los agentes ofensivos. Lo llamativo no es la herramienta, porque el prompt injection existe desde hace años, sino hacia dónde apunta: la misma manipulación que sirve para secuestrar modelos de IA ahora se usa para defenderse de ellos.

Qué es una "context bomb" y cómo frena a un agente de IA

Una context bomb es una cadena de texto diseñada para disparar las barreras de seguridad de un modelo de IA en cuanto este la lee mientras explora un sistema. La idea se apoya en una herramienta que Tracebit ya vendía: los canarios, señuelos (recursos o credenciales falsas) que avisan al defensor apenas alguien los toca. El giro está en que ahora ese señuelo no solo suena la alarma, también carga una trampa. Cuando el agente atacante lee el canario, el texto oculto activa sus propios filtros y lo detiene en seco.

La inspiración vino del otro bando. En 2025, la firma Check Point documentó malware que llevaba un prompt injection dirigido a cualquier herramienta de IA que lo inspeccionara, insistiéndole en que la muestra era inofensiva. Socket describió cadenas parecidas escondidas en paquetes maliciosos. Tracebit tomó ese truco de los atacantes y lo apuntó en dirección contraria.

Hay una razón de fondo para hacerlo. Muchos investigadores de seguridad parten de una misma premisa: el prompt injection no se puede prevenir del todo. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) advirtió en diciembre de 2025 que, como los modelos de lenguaje no trazan una línea real entre datos e instrucciones, esta técnica quizá nunca se mitigue como sí ocurre con la inyección SQL.

"En cuanto un sistema se diseña para tomar datos no confiables e incluirlos en una consulta a un modelo de lenguaje, esos datos no confiables influyen en la salida."

Johann Rehberger, investigador de seguridad reconocido por su trabajo en prompt injection y ataques a modelos de lenguaje.

Si esa puerta no se puede cerrar, el planteamiento de Tracebit fue usarla a favor de quien defiende.

Hacker in hoodie working on multiple computer screens
Photo by Julio Lopez / Unsplash

Los números: de 91% a 15% de ataques exitosos

Para medir el efecto, Tracebit montó un rango de pruebas que imitaba un entorno de producción corporativo en AWS, con configuraciones erróneas que abrían diez rutas de ataque distintas y desenlaces de distinta gravedad: acceso de administrador y persistencia, ejecución de código, robo de datos o movimiento lateral. Luego soltó a los agentes de IA a explorarlo, primero en un entorno limpio y después en uno con una context bomb sembrada. En total, 152 corridas.

Esto es lo que arrojaron las pruebas:

  • Cinco modelos de primer nivel entraron al experimento: Opus 4.8 (Anthropic), Gemini 3.1 Pro (Google), GLM 5.2 (Zhipu AI), DeepSeek 4 Pro (DeepSeek) y Kimi K2.6 (Moonshot AI).
  • Opus 4.8 consiguió acceso total de administrador en 93% de las corridas limpias, y en 0% cuando había una context bomb de por medio.
  • Gemini 3.1 Pro logró control total más un punto de apoyo persistente en 60% de los casos base, y no repitió la hazaña con la trampa activa.
  • Los agentes completaron al menos una de las diez rutas de ataque en 91% de las corridas limpias, pero solo en 15% de las bombardeadas.
  • Las alertas de los canarios se dispararon en todos los casos, con o sin bomba.

No todos los modelos reaccionaron igual. El más resistente a la trampa fue Kimi, que también era el menos hábil para llegar a administrador.

"Kimi fue el menos eficaz de los modelos probados para llegar a Admin, y a la vez el menos afectado por las context bombs (¡aunque siguieron siendo bastante efectivas!)."

el equipo de Tracebit.

Por qué el disparador cambia entre modelos occidentales y chinos

Aquí aparece el hallazgo más curioso. Los investigadores no querían usar bombas "completamente deplorables" ni cadenas relacionadas con temas de ciberseguridad. Buscando alternativas, descubrieron que cada modelo tiene su propio punto débil, y ese punto depende de cómo fue entrenado.

Los modelos occidentales se frenaban de forma confiable cuando la cadena mencionaba temas biológicos delicados o peligrosos. Los modelos chinos, usados a través de proveedores chinos, reaccionaban cuando el texto tocaba asuntos políticamente sensibles en China y estaba escrito en chino. Dicho de otro modo, la alineación de seguridad de cada modelo, esa que decide qué temas evita, se volvió el gatillo exacto para detenerlo.

"En muchos casos, encontramos que combinar los temas sensibles con técnicas estándar de prompt injection [como urgencia, notas para los agentes y delimitadores] ayudó a mejorar el impacto cuando las context bombs se descubrían en entornos realistas."

los investigadores de Tracebit.

Lo que la técnica todavía no resuelve

El propio equipo marcó los límites de lo que probó. El experimento se hizo con familias de modelos potentes y disponibles al público a través de plataformas como OpenRouter. No midieron cómo se comportan los modelos "abliterados", es decir, versiones a las que les quitaron las barreras de seguridad de fábrica. Contra esos modelos sin filtros, queda como pregunta abierta si las context bombs sirven de algo.

Tampoco es una cura. Frenar al modelo con este método pone un obstáculo en su camino, pero el atacante sigue ahí: el equipo de seguridad todavía tiene que investigar y contener la intrusión después de la alerta. La ventaja real es doble, porque el mismo canario que detiene al agente también avisa que alguien leyó ese dato, así que el defensor sabe que debe actuar.

Preguntas rápidas sobre las context bombs

¿Qué es una context bomb?

Es una cadena de texto corta que los defensores esconden dentro de un señuelo para disparar los filtros de seguridad de un agente de IA ofensivo. Cuando el agente la lee mientras explora un sistema, sus propias barreras lo frenan. La técnica la presentó la firma Tracebit en julio de 2026.

¿Detiene por completo a los atacantes con IA?

No. Según Tracebit, la técnica frena a los agentes que usan modelos con filtros de seguridad activos, pero no se probó contra modelos 'abliterados', sin esas barreras. Además, sigue siendo un obstáculo: tras la alerta, el equipo de seguridad todavía debe investigar y contener al intruso.

¿Funciona igual contra todos los modelos?

No. En las pruebas de Tracebit, los modelos occidentales se frenaron con textos sobre temas biológicos delicados, mientras que los modelos chinos, usados mediante proveedores chinos, reaccionaron a temas políticamente sensibles en China escritos en chino.

La lección para cualquier equipo de seguridad es tan incómoda como útil: los mismos filtros que a veces frustran a un usuario legítimo pueden convertirse en una trampa contra un atacante automatizado. Mientras los agentes de IA sigan sin separar los datos de las instrucciones, un señuelo bien redactado dentro de la red deja de ser solo una alarma y pasa a funcionar como freno. No arregla el problema de raíz, pero le compra a quien defiende eso que hoy más escasea frente a un ataque automatizado: tiempo.

Fuentes: 1, 2

Alejandro Castillo Leone imagen de perfil
por Alejandro Castillo Leone

Soy un amante del arte y la cultura. Desde el 2021 dirijo una web dedicada a la historia de mi país y he emprendido la misión de vivir para la cultura, alimentándome principalmente del ámbito Hispanoamericano.

Suscríbete GRATIS

Recibe las noticias más importantes de política, tecnología, negocios, deportes, entretenimiento y cultura directamente en tu correo.

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias

Leer más de Tecnología y Ciencia