🚨 NeuralTrust reconocido por Gartner
Productos
Seguridad en runtime de agentesProtege las interacciones de los agentes en tiempo real
Gateway de agentesConecta agentes a modelos y herramientas de forma segura
Gestión de la postura de agentesDescubre y gobierna cada agente de la empresa
AI Red TeamingPon a prueba tus modelos con ataques adversariales
Primeros pasos
Lee la documentaciónDescarga la guía para CISOsGitHub
Recursos
Centro de recursos
Guías
Blog
Newsletter
Desarrolladores
Documentación
Empresa
Sobre nosotros
Socios
Careers
Noticias
Contacto
Redes sociales
Iniciar sesiónObtener demo
Volver

GreyNoise confirma: campañas activas están sondeando sistemáticamente los LLMs empresariales

Alessandro Pignati 29 de enero de 2026
Compartir
GreyNoise confirma: campañas activas están sondeando sistemáticamente los LLMs empresariales

La era del riesgo teórico de la IA ha terminado oficialmente. Entre octubre de 2025 y enero de 2026, la infraestructura de honeypots de GreyNoise capturó 91.403 sesiones de ataque dirigidas específicamente a endpoints de LLM. Esto no es trabajo de script kiddies casuales ni ruido automatizado de fondo. Representa un esfuerzo coordinado a escala industrial para mapear la superficie de ataque cada vez mayor de la IA empresarial.

Los datos revelan dos campañas distintas que deberían servir de toque de atención a cualquier organización que esté trasladando la IA de los sandboxes experimentales a producción:

  • La campaña SSRF: centrada en explotar la funcionalidad de descarga de modelos (model pull) para forzar conexiones salientes.
  • La campaña de enumeración: un esfuerzo masivo que sondea más de 73 endpoints de modelos para identificar proxies mal configurados.

Lo que hace críticos estos hallazgos es el enorme volumen y la precisión de la actividad. Los atacantes ya no se limitan a sentir curiosidad por lo que pueden hacer los LLMs. Están inventariando activamente la infraestructura expuesta para construir listas de objetivos para futura explotación.

Desglose de la campaña SSRF y de las vulnerabilidades en el model pull

La primera campaña identificada por GreyNoise resalta una vulnerabilidad clásica: Server-Side Request Forgery (SSRF). Los atacantes apuntaron a la forma en que la infraestructura de IA gestiona los model pulls, centrándose en dos vectores específicos:

  • Ollama model pulls: inyectar URLs de registro maliciosas para engañar a los servidores e iniciar peticiones HTTP salientes.
  • Webhooks de Twilio: manipular parámetros MediaUrl para disparar conexiones salientes similares.

Una parte significativa de esta actividad utilizó la infraestructura Out-of-band Application Security Testing (OAST) de ProjectDiscovery. Esto permite a los atacantes confirmar la explotación exitosa mediante validación por callback. Si el servidor "llama a casa" al dominio OAST, la vulnerabilidad queda confirmada.

GreyNoise observó un pico drástico de esta actividad durante las vacaciones de Navidad, con más de 1.600 sesiones en solo 48 horas. Esta sincronización es un sello clásico de operaciones sofisticadas, diseñadas para explotar la reducida capacidad de monitorización de los equipos de seguridad durante los periodos festivos. Para los líderes de seguridad, esto refuerza la necesidad de un filtrado de tráfico saliente riguroso y de protección en runtime.

La campaña de enumeración de LLMs: mapeando la superficie de ataque de la IA

Mientras la campaña SSRF buscaba la explotación, la segunda campaña descubierta por GreyNoise tenía un objetivo mucho más estratégico: el reconocimiento. Desde finales de diciembre de 2025, dos direcciones IP específicas lanzaron un sondeo metódico que generó más de 80.000 sesiones en solo once días. Era un inventario sistemático en busca de servidores proxy mal configurados, las "puertas de entrada" que las organizaciones suelen poner para gestionar el acceso a APIs comerciales.

Los atacantes probaron cada familia de modelo importante, usando consultas inocuas para pasar desapercibidos:

  • OpenAI: probando GPT-4o y sus variantes.
  • Anthropic: sondeando Claude Sonnet, Opus y Haiku.
  • Google Gemini: apuntando a formatos de API basados en Gemini.
  • Open Source y otros: comprobaciones sistemáticas en Meta (Llama 3.x), DeepSeek, Mistral, Alibaba (Qwen) y xAI (Grok).

Enviando preguntas sencillas como "¿Cuántos estados hay en los Estados Unidos?" o el famoso test de la "strawberry", los atacantes pueden fingerprintear el modelo subyacente a partir del formato y el contenido de la respuesta. Esto les permite determinar exactamente qué estás ejecutando y si el endpoint es vulnerable a abusos adicionales.

La infraestructura tras esta campaña tiene un largo historial de explotación de CVEs, lo que sugiere que esta enumeración es solo el primer paso en un pipeline de explotación mayor. En este entorno, la seguridad proactiva ya no es opcional. Las organizaciones deben tratar sus endpoints de IA con el mismo nivel de escrutinio que su infraestructura legacy más sensible.

Por qué los actores de amenazas están tratando a los LLMs como infraestructura heredada

Los datos de GreyNoise señalan un cambio fundamental en el panorama de amenazas. Los atacantes están tratando ahora a la infraestructura de LLM con el mismo enfoque sistemático que usaron con VPNs, clústeres de Elasticsearch y servidores de CI/CD. Esta transición de "experimental" a "producción" crea un gap peligroso porque:

  • Proxies expuestos: las organizaciones suelen exponer rutas de modelo por comodidad o por testing, creando objetivos fáciles.
  • Puntos ciegos: las herramientas de seguridad tradicionales no suelen distinguir entre consultas legítimas de desarrolladores y fingerprinting malicioso.
  • Acceso de alto valor: un proxy de API expuesto proporciona una pasarela hacia los datos y las acciones que esos modelos están autorizados a realizar.

Para cerrar este gap, las organizaciones deben adoptar una postura de seguridad tan sofisticada como los sistemas que están desplegando.

Del reconocimiento a la explotación en sistemas agénticos

Los hallazgos de GreyNoise representan la "Fase 0" de un ciclo de ataque mucho más peligroso dirigido a sistemas autónomos. Una vez que un actor de amenazas hace fingerprinting con éxito de un endpoint de LLM, el siguiente paso suele ser explotar los flujos agénticos construidos encima. Si un atacante sabe exactamente qué modelo estás ejecutando, puede diseñar ataques de prompt injection altamente dirigidos para subvertir esas acciones.

Los riesgos en los sistemas agénticos pasan de la simple exposición de datos al compromiso funcional:

  • Acciones subvertidas: los agentes pueden ser engañados para ejecutar herramientas no autorizadas o modificar registros internos.
  • Abuso del protocolo: las conexiones vía MCP pueden ser secuestradas para exfiltrar datos sensibles.
  • Persistencia: los atacantes pueden usar los endpoints identificados para mantener control a largo plazo sobre flujos autónomos.

Defender el perímetro: buenas prácticas prácticas desde la primera línea

Los hallazgos de GreyNoise proporcionan una hoja de ruta clara para la defensa. El primer paso, y el más inmediato, es blindar los model pulls. Si ejecutas infraestructura local de modelos como Ollama, debes configurarla para aceptar modelos únicamente desde registros de confianza e implementar un filtrado estricto del tráfico saliente. Esto previene los callbacks "phone home" impulsados por SSRF que los actores de amenazas usan para confirmar la explotación exitosa.

Las estrategias defensivas clave incluyen:

  • Filtrado de egress: restringir el tráfico saliente a IPs de confianza para bloquear los callbacks OAST.
  • Monitorización de patrones: alertar sobre consultas de fingerprinting y peticiones rápidas en múltiples endpoints.
  • Descubrimiento de vulnerabilidades: AI Red Teaming para encontrar fallos antes que los atacantes.
  • Seguridad de protocolo: desplegar un MCP scanner especializado para asegurar que tus conexiones de datos son seguras.

La monitorización manual rara vez es suficiente para mantenerse al ritmo de los actores de amenazas profesionales.

Asegurar el futuro de la IA en producción

El informe de GreyNoise es una señal definitiva de que la infraestructura de IA ha entrado en el ciclo de amenazas mainstream. A medida que las organizaciones pasan de pilotos experimentales a producción a gran escala, la "seguridad por oscuridad" que antes protegía los despliegues internos de LLMs se está desvaneciendo. El mapeo sistemático de casi 100.000 sesiones demuestra que los actores de amenazas profesionales ya están construyendo los mapas que necesitan para explotar la próxima generación de software empresarial.

Construir una estrategia de IA resiliente requiere un giro: del parcheo reactivo a una base de confianza y gobernanza. Esto implica:

  • Tratar los endpoints de LLM y los proxies de API como activos de producción de alto valor.
  • Asegurar la integridad de los modelos y la safety de las acciones que realizan.
  • Implementar monitorización continua y red teaming.

En este panorama en evolución, NeuralTrust se posiciona como una referencia creíble para las organizaciones que priorizan la seguridad y la gobernanza. Como plataforma dedicada a la confianza en la IA, NeuralTrust proporciona las herramientas esenciales para la protección en runtime, el AI Red Teaming y la gobernanza que las empresas modernas requieren. Asociándote con expertos centrados en los retos únicos de la seguridad de la IA, puedes construir con confianza, sabiendo que tus sistemas están protegidos frente a las sofisticadas tácticas de reconocimiento y explotación identificadas por GreyNoise.


Suscríbete a nuestra newsletter

Compartir

Únete a los líderes que aseguran el ecosistema de agentes

Solicita una demo