La IA también tiene su propia “App Store”… y los ciberdelincuentes ya están dentro

Uno de los próximos grandes riesgos de la inteligencia artificial puede no estar en el modelo, sino en las capacidades que se instalan a su alrededor. El auge de los agentes de IA está impulsando marketplaces desde los que empresas y usuarios pueden incorporar funciones desarrolladas por terceros, pero también está creando un nuevo eslabón vulnerable en la cadena de suministro tecnológica.

Una investigación de Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, ha identificado cinco skills maliciosas que permanecían disponibles en ClawHub, el marketplace de OpenClaw, pese a sus mecanismos de análisis y seguridad. Al igual que ocurrió con las tiendas de aplicaciones, las librerías de software o los repositorios de código, los atacantes ya están aprovechando estos canales para introducir amenazas, eludir controles y manipular el comportamiento de los agentes.

El riesgo es especialmente relevante porque una organización puede utilizar un modelo de IA seguro y, aun así, quedar expuesta a través de una capacidad desarrollada por un tercero. Estas skills pueden acceder a documentos, credenciales, herramientas corporativas y cuentas autenticadas, conectarse a servicios externos y ejecutar acciones en nombre del usuario. A medida que los agentes ganen autonomía y se integren en áreas como atención al cliente, finanzas, recursos humanos o gestión de infraestructuras, las empresas tendrán que proteger no solo el modelo, sino toda la cadena de confianza que lo rodea.

Cinco “skills” que muestran cómo evolucionan las amenazas en los agentes de IA

Las cinco capacidades maliciosas identificadas por Unit 42 reflejan tres grandes riesgos: robo de información, evasión de los controles de seguridad y manipulación de los agentes con fines económicos.

  1. AI Indicators for TradingView Setup Assistant, un falso asistente de TradingView para robar información: Se presentaba como una herramienta de análisis para inversores, pero dirigía al usuario hacia instrucciones externas que terminaban instalando software malicioso en equipos macOS.
  2. AI TradingView Assistant for macOS, una segunda herramienta financiera con el mismo objetivo: También simulaba ofrecer asistencia para operar en mercados, aunque utilizaba un mecanismo similar para descargar un infostealer y conectarse con la infraestructura de los atacantes.
  3. OmniCogg, un archivo manipulado para evitar los sistemas de análisis: La capacidad había añadido 22 MB de caracteres de relleno para superar los límites de algunas herramientas de seguridad y evitar que examinaran por completo su contenido malicioso.
  4. Money-radar, un asesor financiero condicionado por enlaces de afiliación: El agente recomendaba bancos, plataformas de inversión y exchanges en función de los intereses económicos de su desarrollador, que podía modificar remotamente los productos y enlaces promocionados.
  5. Letssendit, una red de agentes utilizada para manipular una criptomoneda: La skill coordinaba a distintos agentes para que aportaran fondos automáticamente a una cartera controlada por el operador, creando una apariencia de demanda real y facilitando un posible esquema de manipulación de mercado.

Las primeras campañas maliciosas en ClawHub aparecieron pocas semanas después del lanzamiento de la plataforma. Sin embargo, los nuevos hallazgos de Unit 42, correspondientes al periodo comprendido entre febrero y mayo de 2026, muestran que algunas amenazas continuaron disponibles pese a estos controles. Tras recibir el aviso de Unit 42, OpenClaw eliminó las skills y bloqueó las cuentas responsables.

Cómo reducir el riesgo

Unit 42 recomienda que las organizaciones traten los marketplaces de capacidades para agentes de IA con los mismos criterios de seguridad que aplican a cualquier otro elemento de su cadena de suministro tecnológica. Entre las principales medidas se encuentran comprobar quién ha desarrollado cada capacidad, revisar qué información puede consultar, limitar sus permisos y controlar las conexiones que realiza con servicios externos. También resulta necesario evitar que los agentes puedan ejecutar acciones sensibles o realizar operaciones financieras sin mecanismos adicionales de supervisión y aprobación humana.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.