OWASP hizo lo que a muchos de nosotros nos da pereza: juntar en un solo sitio la lista de incidentes reales de la IA generativa y lo dejó con un titular que, si lo lees en diagonal, parece otra tanda de avisos que puedes posponer. Yo no te voy a vender pánico, pero tampoco te voy a dejar con la idea de que esto es “futurismo de laboratorio”. En el informe de explotación de GenAI (Q1 2026) del OWASP Gen AI Security Project se cuentan brechas, agentes que filtran lo que no deben y cadenas de suministro pinchadas, y de repente deja de ser teoría. Lo lees y piensas: vale, otra ronda. Luego miro a la pyme que sigue poniendo el mismo asistente con acceso a carpetas y correo y me pregunto quién crees que paga el pato cuando el modelo o el integrador fallan. El marketing te sigue diciendo “automatiza ya”; la lectura de ese round-up te dice otra cosa, que a veces basta con un permiso mal puesto o un plugin en medio.
Lo que a mi me molesta no es el listado de casos, es el vacío que deja a tu lado. O sea: te cuentan el incidente, tú nunca sabes por qué tool exacto, qué regla de governance faltaba, ni con qué presupuesto arreglaste eso en una empresa de veinte personas. En inglés, Microsoft ya habla de que el abuso de la IA en manos de actores de amenazas pasa de “herramienta” a superficie de ataque: si el adversario vive en el mismo ecosistema que tus defensas, tú elijas LLM o no, el perímetro de confianza se te ensancha sin que el firewall lo sepa. CIS, por su parte, insiste con lo del prompt injection como riesgo creciente: el correo o el documento con instrucciones ocultas no es broma, es vector de exfiltración. Y mientras, Ars recoge el miedo a modelos de ciber (el caso de Mythos de Anthropic) que plantean dudas de si acelerar descubrimiento y explotación de fallos a escala es “solo investigación” o abre caja de pandora. Tres lenguajes distintos, una incomodidad compartida: la asimetría entre quien ataca y quien pone en producción un agente con demasiada fe.
Aquí es donde me pongo cínico, sin disculpas. Llevamos años escuchando que “hay que cuidar el prompt” y luego tú conectas el CRM al chatbot, le das a un becario permisos de lectura y te olvidas. El OWASP, CIS y el propio ecosistema de la nube te están diciendo, con distintas voces, que el problema no es solo el modelo: es la superficie conectada al modelo, los agentes, los conectores, las copias de datos en caché y el hecho de que cada proveedor tira por su barrio en cómo deberíamos auditar. Si buscas en ticweb, ya tocamos hace poco los cinco desafíos y el marketing; este texto es otro corte: la lista de lo que salió mal en el trimestre, para que dejes de confundir “caso aislado” con “mala suerte de otros”.
En mi experiencia, lo peor de estos informes no es asustar, es que vuelve la conversación a lo mismo de siempre, sin cifra que te enseñe qué cuesta poner a prueba a tu RAG, ni checklist claro de lo que hace un plugin de terceros cuando el usuario pega un enlace. Te quedas con la sensación de riesgo inversamente proporcional a la claridad: mientras más gente mete copilotos, menos sabemos qué guardia hay entre el prompt y el dato. Y si tú, como proveedor, vendes “IA segura en bandeja” sin explicar límites reales, estás añadiendo ruido al mismo paisaje del que ahora se quejan OWASP y CIS, que al menos señalan un patrón: la cadena de suministro y la inyección no son anécdotas, son vías que ya aparecen en informes oficiales.
Así que no te pido paranoia. Te pido dejar de mezclar demo y producción en el mismo trasto sin segregación, aunque al final del todo no te fíes ni de mi lista. Mira tú el round-up, lee a Microsoft y CIS, y píntate el escenario: si alguien usa tu asistente como puerta lateral a datos que no toca, quién asume el corte, el cliente o el proveedor a las tres de la madrugada. Esa conversación, en la pyme, casi nunca se da.
Si tuvieras que elegir, antes de añadir otro conector, ¿revisarías tú en profundidad la cadena de permisos o le pedirías al proveedor un informe pormenorizado de lo que pasa con prompts “maliciosos” y quién paga en caso de fuga, aunque eso retrasase el lanzamiento un mes?