Categories: Amenazas y tendencias, Ciberseguridad, Eventos de ciberseguridad 2025, Featured

by drmunozcl

Share

Categories: Amenazas y tendencias, Ciberseguridad, Eventos de ciberseguridad 2025, Featured

Por drmunozcl

Compartir

La irrupción de los Large Language Models (LLMs) ha transformado la forma en que interactuamos con la inteligencia artificial, pero también ha abierto la puerta a nuevos vectores de ataque. Entre ellos, los prompt injections se han convertido en una de las técnicas más estudiadas, al demostrar cómo una simple instrucción maliciosa puede alterar el comportamiento esperado de un modelo.

Tipos de prompt injection 8.8

2. Las codificaciones (encodings) son una pesadilla para la seguridad de los LLMs

Las protecciones para los LLMs están principalmente preparadas para combatir el lenguaje natural, pero no están del todo «sanitizadas» para los ataques de «bypass» utilizando técnicas de codificación:

Invisible Direct Prompt injection

3. Existe un LLM Top 10 de OWASP

No era consciente de que ya existe este interesante ranking de OWASP sobre las vulnerabilidades más importante que afectan a los LLMs:

owasp llm top10 2025

 

Sobre estas vulnerabilidades, crearé un artículo aparte, puesto es muy interesante revisar en mayor profundidad que significa cada una.

Conclusión

La charla “LLM Hacking: From Prompt Injection to RC” en 8.8 Matrix Chile dejó en evidencia que los Large Language Models no solo representan una revolución tecnológica, sino también un nuevo campo de ataque que exige atención inmediata. Desde la manipulación mediante prompt injection hasta escenarios más avanzados como la ejecución remota de código (RC), se demostró que los riesgos son reales y están evolucionando rápidamente.

Más allá de la demostración técnica, la principal enseñanza es que la seguridad en LLMs debe ser un pilar desde el diseño, integrando medidas preventivas, monitoreo constante y un enfoque colaborativo para enfrentar las amenazas emergentes.

 

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • ¿Qué es Credential Stuffing?

    Te preguntas «¿Qué es Credential Stuffing?» Es un ataque automatizado donde delincuentes prueban, a gran escala, combinaciones de usuario y contraseña filtradas en otros servicios. Si un usuario reutiliza credenciales, el atacante accede sin necesidad de hackear el sistema. Spoiler: no son hackers con capucha adivinando contraseñas una por una, son bots probando miles por

  • ¿Qué es Criptojacking?

    Si te preguntas qué es criptojacking, es el uso no autorizado de los recursos de cómputo (CPU/GPU, energía y red) de tus equipos o servidores para minar criptomonedas, generalmente Monero, por parte de atacantes. No roban datos directamente, pero exprimen tu infraestructura, encarecen la nube y reducen el rendimiento; si tu CPU suena como turbina

  • Vulnerabilidades críticas en ReactJs: riesgos en RSC y acciones inmediatas

    La comunidad de desarrollo recibió una alerta importante: se han revelado vulnerabilidades críticas en ReactJs, específicamente en React Server Components (RSC), con potencial de denegación de servicio (DoS) y exposición de código fuente bajo ciertos escenarios. Para los equipos de TI y seguridad, el riesgo es tangible: interrupciones del servicio, filtración de lógica sensible y

  • Test de phishing de google

    Hoy probé el Test de phishing de google y lo encontré bastante bueno para revelar nuestros puntos ciegos frente a correos maliciosos. Es una herramienta simple y gratuita que puedes usar para concientizar a tu equipo o para evaluar tu propia capacidad de detección. Te dejo el enlace directo: https://phishingquiz.withgoogle.com/ Cada día recibimos mensajes que