Context bombs: El truco para frenar hackeos usando la propia IA

Context bombs: El truco para frenar hackeos usando la propia IA

Tracebit diseña 'context bombs' para hackear los filtros de agentes de IA atacantes y frenar ciberataques.

Por Humberto Toledo el 15 de julio del 2026 a las 9:08 am PDT

✨︎ Resumen (TL;DR):

  • Tracebit desarrolló señuelos cargados con texto para activar por error los filtros de seguridad de las IA atacantes.
  • En las pruebas, la tasa de éxito de los agentes ofensivos cayó drásticamente de un 91% a solo 15% con esta trampa.
  • El sistema aprovecha las debilidades éticas de cada modelo, usando temas biológicos en Occidente y políticos en China.

La firma de ciberseguridad Tracebit presentó en julio de 2026 una técnica llamada context bombs, que consiste en usar el prompt injection para defender sistemas en la nube. Al esconder textos diseñados específicamente para activar los filtros de seguridad de los agentes de inteligencia artificial atacantes, los investigadores lograron reducir su tasa de éxito de un 91% a solo un 15%.

Una context bomb es una cadena de texto diseñada para disparar las barreras de seguridad de un modelo de IA en cuanto este la lee mientras explora un sistema.

Mistral lanza Robostral Navigate: guía robots con una cámara
Te podría interesar:
Mistral lanza Robostral Navigate: guía robots con una cámara
Fotos de stock gratuitas de 3d, abstracto, ai generativa
Foto: Google DeepMind / Pexels

Cómo funciona la trampa que confunde a los modelos

La idea se apoya en los llamados “canarios”, que son recursos o credenciales falsas que los administradores colocan en la red. Si un intruso los toca, se dispara una alarma. Con esta nueva técnica, el canario no solo avisa del peligro, sino que lleva una carga útil en forma de texto que la IA lee de manera obligatoria durante su análisis. Al procesar el mensaje, los filtros internos del modelo atacante se activan y detienen la tarea de inmediato.

Este concepto surge como respuesta a un problema sin resolver. En diciembre de 2025, el Centro Nacional de Ciberseguridad del Reino Unido advirtió que no es posible separar por completo los datos de las instrucciones en los modelos de lenguaje.

El investigador de seguridad Johann Rehberger explica que este vacío es estructural: “En cuanto un sistema se diseña para tomar datos no confiables e incluirlos en una consulta a un modelo de lenguaje, esos datos no confiables influyen en la salida.”

En lugar de intentar cerrar esa puerta, Tracebit decidió usarla para sabotear al atacante.

Pruebas en AWS: El colapso de los agentes ofensivos

Para validar el método, el equipo realizó 152 simulaciones en un entorno de producción de AWS configurado con fallas de seguridad reales. Pusieron a prueba cinco modelos comerciales: Opus 4.8 (Anthropic), Gemini 3.1 Pro (Google), GLM 5.2 (Zhipu AI), DeepSeek 4 Pro (DeepSeek) y Kimi K2.6 (Moonshot AI).

Los resultados mostraron un cambio drástico cuando las trampas estaban activas:

  • Opus 4.8 obtuvo acceso total de administrador en el 93% de los escenarios limpios, pero cayó al 0% de efectividad con las context bombs instaladas.
  • Gemini 3.1 Pro logró persistencia en el 60% de los casos base, cifra que bajó a 0% bajo el efecto de la trampa.
  • En general, la tasa de éxito para completar al menos una ruta de ataque disminuyó del 91% al 15%.

El modelo Kimi fue el más resistente a los bloqueos de la bomba, aunque también demostró ser el menos capaz de vulnerar los sistemas para obtener permisos de administrador. Al respecto, el equipo de Tracebit señaló: “Kimi fue el menos eficaz de los modelos probados para llegar a Admin, y a la vez el menos afectado por las context bombs (¡aunque siguieron siendo bastante efectivas!).”

El talón de Aquiles político y biológico de la IA

La efectividad de la bomba depende del entrenamiento ético y las restricciones impuestas por los creadores de cada modelo. Los investigadores descubrieron que los modelos occidentales detienen su ejecución inmediatamente cuando leen textos relacionados con amenazas biológicas o armas químicas.

Por el contrario, los modelos chinos detienen sus operaciones al interactuar con textos escritos en chino que mencionan temas políticos sensibles para el gobierno de su país de origen.

Los investigadores de Tracebit añadieron que “en muchos casos, encontramos que combinar los temas sensibles con técnicas estándar de prompt injection (como urgencia, notas para los agentes y delimitadores) ayudó a mejorar el impacto cuando las context bombs se descubrieron en entornos realistas.”

Aunque el método ofrece una defensa sólida, no es una solución definitiva. Las pruebas se realizaron con modelos que mantienen sus filtros de fábrica y aún no se sabe si serían útiles contra versiones modificadas o “abliteradas” sin restricciones de seguridad. Sin embargo, para los administradores de redes en México y el mundo, esta técnica representa una valiosa herramienta para ganar tiempo valioso ante intrusiones automatizadas.

Fuentes: 1, 2, 3

+ Temas Relacionados

Más de AI

Feed