{"id":32133,"date":"2026-05-27T14:39:59","date_gmt":"2026-05-27T12:39:59","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=32133"},"modified":"2026-05-27T14:39:59","modified_gmt":"2026-05-27T12:39:59","slug":"llmjacking-2026-private-ai-server-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/llmjacking-2026-private-ai-server-security\/32133\/","title":{"rendered":"C\u00f3mo ahuyentar a los asaltantes de LLM"},"content":{"rendered":"<p>La seguridad de la inteligencia artificial no solo se trata de prevenir el robo de datos, restringir <a href=\"https:\/\/www.kaspersky.es\/blog\/moltbot-enterprise-risk-management\/31875\/\" target=\"_blank\" rel=\"noopener\">los agentes de IA deshonestos<\/a> o evitar que los asistentes den consejos da\u00f1inos. Ha surgido una amenaza relativamente sencilla pero de r\u00e1pida escala: los intentos de secuestrar la potencia inform\u00e1tica y aprovechar la red neuronal de otra persona para beneficio personal. Esto se denomina LLMjacking. Dado que se predice que los costes inform\u00e1ticos de la IA <a href=\"https:\/\/oplexa.com\/ai-inference-cost-crisis-2026\/\" target=\"_blank\" rel=\"noopener nofollow\">aumentar\u00e1n dr\u00e1sticamente<\/a>, la cantidad de atacantes impulsados por estos motivos est\u00e1 destinado a crecer. En consecuencia, durante la implementaci\u00f3n de servidores de IA patentados y sus ecosistemas secundarios como <a href=\"https:\/\/es.wikipedia.org\/wiki\/Generaci%C3%B3n_aumentada_por_recuperaci%C3%B3n\" target=\"_blank\" rel=\"noopener nofollow\">RAG<\/a> o <a href=\"https:\/\/es.wikipedia.org\/wiki\/Protocolo_de_Contexto_de_Modelo\" target=\"_blank\" rel=\"noopener nofollow\">MCP<\/a>, es fundamental establecer medidas de seguridad rigurosas desde el primer d\u00eda.<\/p>\n<h2>Estad\u00edsticas de un se\u00f1uelo<\/h2>\n<p>La velocidad y la escala de estos intentos de secuestro de recursos quedaron demostrados en un <a href=\"https:\/\/web.archive.org\/web\/20260412230759\/https:\/www.reddit.com\/r\/ollama\/comments\/1sff7i0\/30_days_of_an_llm_honeypot\/?solution=64b4494d52a1506664b4494d52a15066&amp;js_challenge=1&amp;token=bbbe4bf1c9a2b5160829c4be34da586161e5e506c5ef56a1c8acb5184e8d115f\" target=\"_blank\" rel=\"noopener nofollow\">experimento<\/a> documentado en detalle en abril de 2026. El investigador configur\u00f3 una Raspberry Pi para que se hiciera pasar por un servidor de IA privado de alto rendimiento y para que se pudiera acceder desde Internet. Cuando se lo consult\u00f3, inform\u00f3 la disponibilidad de los servidores Ollama, LM Studio, AutoGPT, LangServe y text-gen-webui; todas las herramientas que se usan com\u00fanmente como contenedores para los modelos de IA alojados localmente. El servidor tambi\u00e9n parec\u00eda listo para aceptar solicitudes de API en formato OpenAI, que se ha convertido en el est\u00e1ndar de la industria.<\/p>\n<p>Al parecer, todos estos servicios funcionaban gracias a una instancia local de Qwen3-Coder 30B Heretic, uno de los modelos de c\u00f3digo abierto m\u00e1s potentes, al que se le hab\u00eda eliminado la alineaci\u00f3n de seguridad. Para rematar, el honeypot detect\u00f3 la presencia de varias bases de datos RAG y un servidor MCP con funciones tan tentadoras como <em>get_credentials <\/em>.<\/p>\n<p>En realidad, el Raspberry\u00a0Pi sencillamente alojaba 500\u00a0respuestas guardadas previamente de un modelo Qwen3 real, con un script ligero que eleg\u00eda la respuesta m\u00e1s relevante para cada consulta entrante. Esta configuraci\u00f3n fue suficiente para pasar una verificaci\u00f3n superficial y permitir al investigador sondear las intenciones de los atacantes.<\/p>\n<p>Seg\u00fan el autor, Shodan, un popular servicio de escaneo de Internet, detect\u00f3 el servidor a las tres horas de su puesta en marcha. Apenas una hora despu\u00e9s, comenzaron a llegar solicitudes que parec\u00edan tener como objetivo el reconocimiento de capacidades. Durante el mes siguiente, el servidor gestion\u00f3 m\u00e1s de 113 000 solicitudes procedentes de miles de direcciones IP \u00fanicas, y el 23 % de ese tr\u00e1fico se centr\u00f3 espec\u00edficamente en descubrir capacidades de IA y en explotar los modelos de lenguaje grandes (LLM) y los agentes de IA locales.<\/p>\n<p>Las solicitudes a endpoints como <em>\/api\/tags<\/em> y <em>\/v1\/models<\/em> permiten a los atacantes identificar qu\u00e9 modelos est\u00e1n alojados en un servidor, mientras que analizar <em>\/.cursor\/rules<\/em> suele preceder a un intento de aprovechar un agente de IA. Del mismo modo, la verificaci\u00f3n de <em>\/.well-known\/mcp.json<\/em> sirve como inventario de los servidores MCP de la v\u00edctima. Si bien el autor no menciona la cantidad total de ataques que progresaron m\u00e1s all\u00e1 de un an\u00e1lisis sencillo, hubo 175\u00a0intentos activos de secuestrar el LLM solo durante la \u00faltima semana del experimento.<\/p>\n<h2>\u00bfQu\u00e9 buscan los atacantes?<\/h2>\n<p>Seg\u00fan las observaciones del investigador, ninguno de los que ten\u00edan como objetivo el servidor de se\u00f1uelo intent\u00f3 ejecutar c\u00f3digo arbitrario u obtener acceso root. (Nota editorial: esto es sorprendente y puede indicar discrepancias en el registro). Casi todos los ataques ten\u00edan como objetivo desviar recursos. Por ejemplo, se registraron las siguientes actividades durante el experimento:<\/p>\n<ul>\n<li>Un intento bien estructurado de analizar la documentaci\u00f3n t\u00e9cnica de un microprocesador.<\/li>\n<li>Una instrucci\u00f3n para escribir una novela er\u00f3tica.<\/li>\n<li>Solicitudes para analizar y estructurar datos de texto de redes sociales con respecto a nuevas vulnerabilidades.<\/li>\n<li>Un intento de llamar a los modelos de Anthropic usando el servidor vulnerado como un proxy de API.<\/li>\n<\/ul>\n<p>Vale la pena destacar que el reconocimiento de los recursos de IA utiliza herramientas estandarizadas y de r\u00e1pida evoluci\u00f3n. Las solicitudes de una aplicaci\u00f3n llamada LLM-Scanner se originaron en la infraestructura de siete proveedores de nube diferentes en ocho pa\u00edses, lo que sugiere que los asaltantes han implementado metodolog\u00edas establecidas, as\u00ed como plataformas especializadas para compartir t\u00e9cnicas. Para la tercera semana del experimento, el analizador se hab\u00eda actualizado con una verificaci\u00f3n adicional: ahora usaba preguntas abstractas sencillas para determinar si est\u00e1 interactuando con IA en vivo o un se\u00f1uelo que devuelve respuestas predise\u00f1adas.<\/p>\n<p>Entre los ataques no espec\u00edficos, el experimento registr\u00f3 numerosos intentos de exfiltrar credenciales del archivo <em>.env<\/em>. Los atacantes buscaban sistem\u00e1ticamente este archivo en todos los directorios imaginables del servidor. Dejar un archivo <em>.env<\/em> de acceso p\u00fablico es uno de los errores m\u00e1s elementales al implementar proyectos en Laravel, <em>Node.js<\/em> y otros marcos; sin embargo, sigue siendo un descuido com\u00fan, en particular entre los principiantes y los programadores intuitivos. En consecuencia, los atacantes tienen todas las razones para esperar que sus esfuerzos den frutos.<\/p>\n<h2>Conclusiones y consejos de defensa<\/h2>\n<p>Analizar servidores de acceso p\u00fablico e intentar aprovecharlo no es nada nuevo, pero el auge de los LLM ofrece a los atacantes otra forma de monetizar sus esfuerzos, una que es altamente lucrativa para ellos y devastadora para sus v\u00edctimas. Para comprender c\u00f3mo de masivos podr\u00edan llegar a ser estos ataques, basta observar su contraparte m\u00e1s cercana: el mercado del criptojacking, donde los delincuentes extraen criptomonedas utilizando recursos inform\u00e1ticos robados. Ese mercado <a href=\"https:\/\/www.economist.com\/science-and-technology\/2026\/04\/22\/crypto-miners-are-quietly-colonising-computers\" target=\"_blank\" rel=\"noopener nofollow\">creci\u00f3 un 20\u00a0% solo en 2025<\/a>. A medida que proliferan las soluciones impulsadas por IA, y a medida que los principales proveedores aumentan los costes de suscripci\u00f3n mientras los chips de IA locales siguen siendo escasos, deber\u00edamos esperar que el LLMjacking se convierta en un fen\u00f3meno a escala industrial.<\/p>\n<p>Medidas defensivas clave para la infraestructura de IA privada<\/p>\n<ul>\n<li>Para los sistemas de IA que se ejecutan localmente en una sola m\u00e1quina, aseg\u00farate de que servidores como LM\u00a0Studio, Ollama o similares se configuren para aceptar conexiones solo en la interfaz local (localhost), en lugar de todas las interfaces de red disponibles. Esto restringe el acceso de LLM a la propia m\u00e1quina host y evita que se pueda acceder a la IA a trav\u00e9s de Internet.<\/li>\n<li>Para los servidores que gestionan solicitudes remotas, incluso si el servidor solo opera dentro de una red corporativa local, implementa procesos de <a href=\"https:\/\/www.kaspersky.com\/blog\/how-to-benefit-from-identity-security\/48399\/\" target=\"_blank\" rel=\"noopener nofollow\">autenticaci\u00f3n y autorizaci\u00f3n s\u00f3lidos<\/a> en lugar de depender \u00fanicamente de la validaci\u00f3n de la clave API. Las soluciones basadas en OIDC u OAuth2 con tokens de corta duraci\u00f3n son las m\u00e1s efectivas. Esto no solo te permite defenderte del LLMjacking, sino que tambi\u00e9n permite un seguimiento m\u00e1s granular de la actividad del usuario y evita el abuso de claves API. Adem\u00e1s, las claves deben protegerse de algo m\u00e1s que atacantes externos: un riesgo creciente es el <a href=\"https:\/\/www.theregister.com\/2026\/04\/27\/cursoropus_agent_snuffs_out_pocketos\/\" target=\"_blank\" rel=\"noopener nofollow\">uso indebido de claves por parte de los propios agentes de IA<\/a>. Esto se aplica a las interfaces LLM, as\u00ed como a MCP, RAG y otras.<\/li>\n<li>Usa la segmentaci\u00f3n de red y las listas de IP permitidas para otorgar acceso al servidor de IA solo a los departamentos, empleados y servicios que lo requieran.<\/li>\n<li>Aseg\u00farate de que todas las conexiones entre cliente y servidor est\u00e9n protegidas con una versi\u00f3n actual de TLS.<\/li>\n<li>Aplica el <a href=\"https:\/\/www.kaspersky.com\/blog\/what-is-the-principle-of-least-privilege\/50232\/\" target=\"_blank\" rel=\"noopener nofollow\">principio de privilegio m\u00ednimo<\/a> separando el acceso a servicios espec\u00edficos; por ejemplo, los componentes de MCP y LLM deben tener sus propios tokens de acceso distintos.<\/li>\n<li>Aseg\u00farate de que haya un <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/endpoint-detection-response-edr?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">agente de seguridad de EDR<\/a> instalado en todas las estaciones de trabajo y servidores, incluidos los que alojan modelos de IA.<\/li>\n<li>Supervisa el consumo de recursos de IA, establece cuotas de uso para las diferentes funciones de los empleados y configura alertas para picos de actividad an\u00f3malos.<\/li>\n<li>Mant\u00e9n registros detallados de las respuestas de LLM y las solicitudes realizadas al modelo y sus herramientas secundarias. Integra estas fuentes de datos con <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/managed-detection-and-response?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">tu SIEM<\/a>. Aseg\u00farate de que los registros sean resistentes a las falsificaciones o eliminaciones.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"31074\">\n","protected":false},"excerpt":{"rendered":"<p>En la actualidad, los intentos de secuestrar recursos de IA se llevan a cabo a escala industrial. \u00bfC\u00f3mo se dirigen los ataques a la infraestructura de IA y qu\u00e9 medidas defensivas debes implementar?<\/p>\n","protected":false},"author":2722,"featured_media":32134,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[2093,1307,3725,61,3060],"class_list":{"0":"post-32133","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-aprendizaje-automatico","9":"tag-ia","10":"tag-llm","11":"tag-seguridad","12":"tag-servidores"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/llmjacking-2026-private-ai-server-security\/32133\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/llmjacking-2026-private-ai-server-security\/30714\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/llmjacking-2026-private-ai-server-security\/25767\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/llmjacking-2026-private-ai-server-security\/30564\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/llmjacking-2026-private-ai-server-security\/30696\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/llmjacking-2026-private-ai-server-security\/41840\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/llmjacking-2026-private-ai-server-security\/55768\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/llmjacking-2026-private-ai-server-security\/25008\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/llmjacking-2026-private-ai-server-security\/33508\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/llmjacking-2026-private-ai-server-security\/30650\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/llmjacking-2026-private-ai-server-security\/36224\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/llmjacking-2026-private-ai-server-security\/36116\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ia\/","name":"IA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=32133"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32133\/revisions"}],"predecessor-version":[{"id":32136,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32133\/revisions\/32136"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/32134"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=32133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=32133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=32133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}