Por Canuto Ronghui Gu, cofundador y CEO de CertiK, advirtió que el despliegue acelerado de agentes de IA autónomos está creando una peligrosa deuda de seguridad, especialmente cuando estos sistemas reciben acceso a archivos, credenciales y herramientas financieras sin aislamiento ni revisión previa.
***
- CertiK advierte que los agentes de IA no aislados pueden convertirse en amenazas internas con acceso a datos sensibles y cuentas financieras.
- La firma detectó vulnerabilidades, paquetes maliciosos y estafas en cadena de corta duración diseñadas para engañar a bots y otros sistemas autónomos.
- Ronghui Gu pidió adoptar arquitecturas de confianza cero, con verificación continua de comandos, dependencias y entornos de ejecución.
La expansión de los agentes de inteligencia artificial autónomos ya no se limita a asistentes que responden preguntas. Cada vez más, estos sistemas leen archivos, ejecutan tareas, conectan aplicaciones y operan sobre infraestructura financiera. Para Ronghui Gu, cofundador y CEO de CertiK, ese cambio convierte una promesa de productividad en una amenaza de seguridad de gran escala.
En declaraciones recogidas por CoinDesk, Gu afirmó que el despliegue masivo de agentes de IA no aislados y sin análisis previo representa “un desastre de seguridad masivo a punto de ocurrir”. Su advertencia apunta a un problema central: muchos usuarios y empresas conceden permisos amplios a herramientas que todavía no cuentan con barreras suficientes contra manipulación, robo de datos o fraude automatizado.
El riesgo resulta especialmente relevante para el ecosistema cripto. Los agentes de IA empiezan a interactuar con billeteras, bots de trading, credenciales, bases de datos empresariales y flujos de pagos. Si un atacante toma control del comportamiento del agente, no necesita vulnerar directamente a la persona. Puede hacer que la propia herramienta ejecute la acción dañina.
Una nueva capa de riesgo para datos, credenciales y dinero
Gu explicó que la industria suele tratar a los agentes de IA como si fueran aplicaciones locales confiables. Muchas herramientas populares de código abierto operan bajo la idea de que ejecutar software en la computadora del usuario reduce la exposición a amenazas externas. Según el CEO de CertiK, esa premisa se rompe cuando el agente recibe acceso a datos sensibles y herramientas conectadas a internet.
“Ahora mismo, los agentes ya no se limitan a responder preguntas en una ventana de chat”, dijo Gu. “Están empezando a llamar herramientas externas, leer archivos locales, activar flujos de trabajo e interactuar con infraestructura financiera. Pero si no aíslas el entorno de ejecución y analizas estas herramientas primero, estás entregando a una identidad comprometida un amplio acceso interno a toda tu red”.
La preocupación se concentra en los permisos. Un agente puede revisar almacenamiento local, historiales de ejecución, credenciales de correo personal o bases de datos internas. También puede operar servicios conectados a cuentas de dinero. Con esos accesos, deja de ser un asistente pasivo y se convierte en una entidad capaz de actuar dentro del sistema.
Ese punto es clave para comprender la advertencia. En ciberseguridad, una amenaza interna suele ser más peligrosa que una externa porque ya cuenta con permisos válidos. Gu sostiene que un agente manipulado puede cumplir ese rol, incluso si el usuario nunca instaló malware tradicional ni entregó su contraseña directamente a un atacante.
El análisis reciente de CertiK sobre estructuras de agentes en fases iniciales y de rápido crecimiento encontró una acumulación importante de fallas. La firma reportó cientos de avisos críticos de seguridad, CVE sin parchear y exposiciones de credenciales locales. También observó memorias de sesión expuestas por comprobaciones de límites inconsistentes.
La inyección de prompts cambia el campo de ataque
El problema no depende solo de código malicioso. Gu destacó que los agentes pueden desviarse en su capa de razonamiento mediante instrucciones en lenguaje natural. Esta técnica, conocida como inyección de prompts, permite insertar órdenes ocultas en una página web, un documento PDF o un correo entrante.
Cuando el agente lee ese contenido para completar una tarea, puede confundir datos externos con instrucciones confiables. Si el sistema no separa correctamente ambos niveles, el agente puede sobrescribir sus reglas originales. Luego ejecuta la orden maliciosa de forma silenciosa.
Ese escenario abre la puerta a exfiltración de datos y transferencias no autorizadas de fondos. Un documento aparentemente normal podría ordenar al agente revelar archivos, reenviar credenciales o activar una operación financiera. Para el usuario, la acción puede parecer parte del flujo automatizado.
La dificultad aumenta porque muchas defensas tradicionales buscan firmas de malware, patrones de código o archivos conocidos. En este caso, la instrucción dañina puede aparecer como texto normal. Según Gu, ese enfoque hace que algunas amenazas sean resistentes a análisis antivirus heredados.
CertiK también descubrió cientos de habilidades maliciosas, instaladores falsos y paquetes de dependencias imitadores alojados en centros abiertos de utilidades para agentes. Estos componentes no siempre necesitan ocultar un ejecutable clásico. Pueden usar lenguaje natural para modificar objetivos o guiar al agente hacia un comportamiento fraudulento.
Estafas automatizadas contra otros sistemas autónomos
La advertencia de CertiK llega en un momento en que figuras relevantes del sector cripto anticipan una fuerte presencia de agentes de IA en internet y pagos digitales. Charles Hoskinson, fundador y CEO de Input Output de Cardano, dijo que para 2035 estos agentes serán más relevantes que los humanos en internet.
Brian Armstrong, CEO de Coinbase, afirmó recientemente que “muy pronto habrá más agentes de IA que humanos realizando transacciones”. Changpeng Zhao, fundador de Binance, también predijo que los agentes “harán un millón de veces más pagos que los humanos”. Estas visiones describen un futuro con alta automatización financiera.
Gu no rechaza esa transformación, pero alerta que el ritmo de adopción supera la madurez de los controles. Si millones de agentes interactúan con activos digitales y otros sistemas autónomos, los atacantes pueden diseñar fraudes dirigidos a máquinas. En ese entorno, el error humano deja de ser el único punto débil.
La telemetría de CertiK mostró una explosión de estafas automatizadas en cadena que duran apenas 10 minutos o unas pocas horas antes de desaparecer. Gu describió este fenómeno como una evolución extraña del crimen financiero. Los ataques buscan engañar a bots de trading autónomos y sistemas de agentes automatizados.
El resultado puede ser una extracción financiera de máquina a máquina. Un contrato, paquete o flujo malicioso aparece, atrae o manipula a bots, ejecuta el drenaje y desaparece antes de que una persona detecte la vulneración. Esa velocidad complica la respuesta manual y exige controles preventivos.
Confianza cero como respuesta urgente
Para Gu, la respuesta no puede depender de confianza implícita. La industria de software, dijo, debe abandonar interacciones basadas en permisos amplios y pasar a arquitecturas estrictas de confianza cero. Ese modelo exige verificar de forma continua cada comando, dependencia y acción del agente.
La confianza cero no asume que una herramienta es segura solo porque opera desde un entorno local o porque el usuario la instaló. También evita conceder acceso permanente a recursos críticos. En el caso de agentes de IA, esto implica aislar entornos de ejecución, limitar permisos y analizar herramientas antes de habilitarlas.
El aislamiento resulta central. Si un agente debe leer un archivo, no necesita tener acceso libre a todo el sistema. Si debe ejecutar una operación financiera, el sistema debería verificar el origen de la instrucción, el contexto y los límites autorizados. Cada paso requiere controles específicos.
Este enfoque puede resultar incómodo para empresas que buscan automatizar flujos rápidamente. Sin embargo, la advertencia de CertiK plantea que la eficiencia sin seguridad crea deuda técnica y operativa. Cuanto más crece esa deuda, más costoso será corregirla cuando los agentes ya estén integrados en procesos críticos.
El mensaje final de Gu apunta tanto a usuarios individuales como a compañías. Antes de entregar archivos, credenciales o cuentas financieras a un agente de IA, conviene tratarlo como una identidad con poder real dentro de la red. Si esa identidad cae bajo influencia maliciosa, el daño puede ocurrir sin una intrusión visible y a una velocidad que ningún humano alcanza a supervisar.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Análisis de mercado
BGB retrocede 0,46% en sesión de bajo volumen el 29 de mayo
Análisis de mercado
Bitcoin mantiene rango estrecho cerca de USD $73.700 en jornada volátil
AltCoins
KITE retrocede casi 3% en jornada de bajo volumen
AltCoins