Qué hacer para desplegar Inteligencia Artificial con seguridad en una empresa

El uso de LLMs, de modelos avanzados de DeepReasoning, la construcción de Agentes IA para hacer tareas en tu empresa, la construcción de servicios digitales basados en IA que dan servicios a empleados y clientes, la habilitación de herramientas de IA para los empleados, o simplemente la nueva generación de atacantes armados con modelos de IA para la explotación que obligan a una nueva generación de expertos de ciberseguridad que use la IA para defenderse, ha abierto un ecosistema exponencial de puntos de riesgo que hay que evaluar, y no es nada sencillo.

Figura 1: Qué hacer para desplegar Inteligencia Artificial con seguridad en una empresa

Dejadme que vayamos por partes, a ver si soy capaz de transmitiros el puzzle que todos los que trabajamos en ciberseguridad con Inteligencia Artificial llevamos en la cabeza, y que veáis la cantidad de controles que deben ser añadidos para que se pueda tener un servicio de IA desplegado con seguridad. Si tienes dudas de los riesgos, no dejes de verte esta charla que te ayudará a entenderlo.

Figura 2: Ciberseguridad e Inteligencia Artificial.Riesgos y oportunidades en un mundo híperconectado

Vamos por partes en alto nivel, y ya iré desgranando cada una de estas partes en muchos más artículos, que tenemos un año 2026 por delante completo para llenar de posts, pero partamos de este gráfico que usamos en Cloudflare que recoge un poco la complejidad del ecosistema. 

Figura 3: AI Security Suite

Tenemos clientes, empleados, aplicaciones construidas con modelos de IA y servicios SaaS remotos que son utilizados por tus empleados y APIS conectados. Y todos ellos pueden convertirse en maliciosos y ser un atacante, así que sobre este ecosistema primero hay que tener Visibilidad, para luego poder añadir Controles de Uso, Protección de Datos, Mitigación de ataques y amenazas, y hacerlo en todos los puntos de interacción, que como vamos a ver son muchos distintos y necesitamos diferentes herramientas.

Mis empleados usan herramientas/Servicios/productos de IA en SaaS

Este es el primero de los casos de uso. Sencillo. Tus usuarios quieren utilizar algo como ChatGPT, Gemini o Perplexity en la empresa para pedirle cosas, pero no están conectados a tu arquitectura de datos. No hay RAG, ni nada parecido. Solo empleados enviando Prompts a servicios SaaS. Aquí el riesgo es que datos confidenciales de la empresa pasen a formar parte de los datos de entrenamiento de los servicios SaaS, así que hay que controlar vía legal, y vía técnica, que esto no pase.

Figura 4: Configuración de Guardrails y DLP Rules

Para ello, puedes buscar servicios empresariales que garanticen que los datos de tus empleados no van a ser utilizados para entrenar los modelos, y que están en instancias aisladas que los protegen. Pero ... ¿es suficiente? No, esto te garantiza que los datos que están yendo a los servicios autorizados por la empresa no van a ser utilizados para entrenamiento, pero hay que controlar qué otros servicios utilizan tus empleados, para bloquearlos o monitorizarlos. Incluso siendo un servicio autorizado, deberías controlar qué están enviando allí.

Figura 5: Configuración de Guardarraíles para

Prompt Maliciosos en AI Security

Para eso, debes desplegar en la empresa un solución de WAF hacia dentro, y de CASB hacia fuera, y sobre ellas asegurarte que tienes visibilidad de a dónde se están conectando, qué están enviando, y tener políticas de bloqueo para evitar la fuga de datos, así que necesitas añadir reglas de DLP (Data Loss Prevention) en esas conexiones. 

Mis empleados conectan modelos y agentes de IA a sus datos privados

Estamos en las arquitecturas RAG para usuarios, donde los agentes pueden acceder a sus datos personales para hacer tareas, ya sea un Copilot personal, o un agente de ChatGPT con conexión a su Cloud Drive, o un Gemini conectado a su calendario y su correo personal o profesional. En este caso, tenemos todos los problemas de de ataques a empleados con técnicas de Indirect Pompt Injection de los que tanto hemos hablado, así que hay que utilizar filtros de seguridad para detectar todos los ataques que vayan en los datos de entrada. Que hemos visto muchos. Aquí te dejo para que leas.

• EchoLeak: Un Cross Prompt Injection Attack (XPIA) para Microsoft Office 365 Copilot
• Google Gemini para Gmail: Cross-Domain Prompt Injection Attack (XPIA) para hacer Phishing
• Hacking Gitlab Duo: Remote Prompt Injection, Malicious Prompt Smuggling, Client-Side Attacks & Private Code Stealing
• Hacking IA: Indirect Prompt Injection en Perplexity Comet
• ShadowLeak Attack para Agentes IA de Deep Research en ChatGPT
• ForcedLeak: Indired Prompt Injection en Salesforce AgentForce
• AgentFlayer exploit para ChatGPT: Prompt Injection para exfiltrar datos de tus almacenes conectados
• Indirect Prompt Injection en Perplexity Comet para atacar tu Stripe y el riesgo de los AI-First Web Browsers con ChatGPT Atlas
• Perplexity Comet: Indirect Prompt Injection con textos invisibles in imágenes
• ChatGPT Atlas: Client-Side Attack CSRF para Contaminar la Memoria con un Prompt Injection que te hackea tu Windows con Vibe Coding
• Prompt Injection en ChatGPT Atlas con Malformed URLs en la Omnibox
• HackedGPT: Cómo explotar "Weaknesses" en ChatGPT para hacer Phishing o Exfiltrar Datos
• GeminiJack: Indirect Prompt Injection en Google Gemini Enterprise 

Esto quiere decir que las herramientas de e-Mail seguro, de detección de ataques de phishing, de Navegación Segura, tienen que estar monitorizando los puntos de entrada de datos para detectar los ataques de Prompt Injection que puedan estar en webs, correos electrónicos o ficheros adjuntos. Por supuesto, controlar el despliegue y proliferación de AI-Web Browsers como Atlas o Comet, que puede ser un foco de problemas dentro de la organización.

Mis aplicaciones se conectan a modelos LLM para hacer cosas con mis datos

En este caso es una aplicación de la empresa que se conecta a un modelo LLM, donde podemos tener muchos problemas que no nos gustan. Por eso necesitamos construir Guardarraíles para controlar, el consumo, la fuga de datos con peticiones que vayan de la aplicación al modelo usando reglas DLP, los ataques de Prompt Maliciosos, detectar posibles ataques de Prompt Injection o Jailbreak, y luego filtrar las respuestas del LLM antes de hacer acciones con ellas o enviarlas a clientes o empleados, para que no haya respuestas con sesgos, alucinaciones, peligrosas, o con fugas de datos.

Figura 6: AI Gateway - Control de Prompts enviados

Para ello es necesario construir un AI Gateway entre la aplicación y el modelo LLM para controlar los datos que van en el Prompt y los resultados que están llegando. Pero también para controlar a alto nivel, si se ha producido un desalineamiento entre el "intent" inicial y las acciones que se están realizando en este momento. Puede que el Prompt fuera normal "Resume este documento", pero el Prompt Injection estuviera en el Doc y desalineara al modelo para hacer cosas malas.

Figura 7: Controles en la conexión Aplicación - LLM

Así que, debes tener un control exhaustivo entre tu aplicación y el modelo LLM que da poder al backend de tus servicios, porque puede ser un punto peligroso y de riesgo en tu arquitectura.

Mi aplicación está abierta a Internet (Vía Web o vía API)

Llegamos al punto divertido. Estamos en Internet, y publicamos una aplicación web, una aplicación, o una API. Sea el caso que sea, primero necesitamos tener visibilidad de quién se está conectando. Y no es trivial. Antes los "bots" eran siempre automatismos malos - excepto en las APIs -, pero ahora pueden ser Agentes AI, así que hay que discernir bien qué hacer. Primero, debes tener un WAF que te visibilidad de las Non-Human Identities en forma de Bots que se están conectando a tu web o aplicación. 

Figura 8: Lista de bots Verificados en Radar Cloudflare

Estas NHI generan costes de cloud en transferencia de datos, y en computo, así que elegir quiénes quieres que se nutran de tus datos o servicios es un primer punto de decisión para saber si quieres bloquearlos, dejarles pasar o exigirles un pago con un servicio Pay-Per-Crawl. Para que os hagáis una idea, hoy en día hay identificados 497 diferentes Verified Bots, donde se mira la petición y la dirección IP de origen que están utilizando para hacer "crawling" de Internet, e incluso detectar cuando alguno hace algo de "cloacking". 

Figura 9: Cloudflare AI Audit

En segundo lugar, tienes que tener WAF y un API Gateway con reglas para detectar los ataques automatizados, y los endpoints peligrosos, como hemos hecho siempre, pero una vez que estamos hablando de Aplicaciones y APIs que tienen en el backend conexiones a LLMs - ya sea locales en la empresa o remotos, conectados vía un AI Gateway -, necesitas crear Guardarrailes para detectar, una vez más, y un Firewall for AI para detectar los ataques de Pompts Maliciosos, Prompt Injection, Jailbreak, las fugas de datos con reglas DLP, alucinaciones, Bias, datos erróneos sensibles o los problemas de desalineamiento entre la petición y la respuesta, además de la política corporativa de la empresa.

Figura 10: Firewall for AI

Además, si quiero hacer todos estos análisis personalizados y con alto rendimiento, probablemente tenga que hacerlos en el Edge utilizando modelos de IA entrenados para detectar estos ataques, o configurados por ti de manera especial para que protejan todo lo que está entrando y saliendo de tus aplicaciones, así que necesitaras Workers con modelos de IA para inferencia. 

Tengo un MCP para los modelos de AI

Vamos al siguiente nivel, donde ahora lo que tenemos es un MCP Server abierto para que modelos o Agentes AI se conecten a las capacidades que ofrecen tus aplicaciones. Una autopista para los Agentic AI que abre tus capacidades. 

Figura 11: Controles de seguridad para un MCP Server

Pero... ¿es ese Agente AI peligroso? Pues lo mismo, necesitas Guardarrrailes para todo lo que se está comunicando en ambas direcciones, con reglas y protecciones diferentes en cada uno de los canales.

Figura 12: Configuración de Guardarrailes en Workers de Cloudflare

Si has llegado hasta aquí, verás que cada uno de estos puntos es un hilo de configuración completo con una suite de herramientas, puntos de análisis de seguridad, y sobre todo con cambios diarios - cada hora -, sobre los riesgos y las protecciones, porque las amenazas están activas las 24 horas del día, y como he dicho muchas veces, nos faltan muchas medidas de seguridad en los modelos que hemos construido.

Threat AI-Intelligence

Por supuesto, en este mundo se necesita un servicio de WAF con Threat AI-Intelligence que vaya detectando las amenazas globales y dándote configuraciones automáticas de reglas de protección contra los nuevos ataques de AI (Prompt Injection, Jailbreak, etc...), así como las nuevas NHI detectadas, las nuevas botnets de atacantes, etcétera. Esto lo hace automáticamente Cloudflare en sus servicios, pero ademas existe Cloudforce ONE si quieres solo la inteligencia.

Figura 13: Cloudforce ONE

Con la llegada de las AI-Enterprises, este tipo de riesgos con AI pueden hacer mucho, mucho, mucho daño hoy en día y en el futuro, porque el que un atacante pueda controlar un LLM interno puede darle mucho, mucho, mucho poder.

Figura 14: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que he escrito, citado o impartido sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Figura 15: Contactar con Chema Alonso