sistema: OPERATIVO
← volver a todos los hacks
RESEARCH LOW NEW

La dualidad de seguridad de los agentes LLM: protegerlos y emplearlos

Una revisión con revisión por pares, publicada a finales de junio de 2026, mapea el vínculo bidireccional entre asegurar los agentes LLM y usarlos para la ciberdefensa — y sostiene que ambos avanzan juntos.

2026-07-08 // 6 min affects: llm-agents, tool-using-agents, security-operations

¿Qué es esto?

La mayoría de los trabajos sobre seguridad de agentes LLM tratan al agente o bien como víctima o bien como arma. Un conjunto de investigaciones estudia cómo atacar a los agentes — inyección de prompts, abuso de herramientas, envenenamiento de memoria. Otro estudia cómo dirigirlos hacia tareas de ciberseguridad — clasificar alertas, cazar vulnerabilidades o, de forma menos afortunada, automatizar intrusiones. Una revisión publicada en arXiv el 26 de junio de 2026, LLM agents security duality: a comprehensive survey of self-security and empowered cybersecurity (2606.28450), sostiene que estas dos literaturas son en realidad un único problema visto desde dos lados, y que tratarlas en conjunto cambia la forma de invertir.

El documento es una sistematización de 73 páginas de Yiwei Xu, Yong Zhuang, Juan Wang, Hongxin Hu y sus colegas, publicada en Artificial Intelligence Review (DOI 10.1007/s10462-026-11563-0). Su aporte no es un nuevo ataque ni una nueva defensa, sino un mapa: una taxonomía de amenazas organizada por origen, un inventario de mitigaciones y marcos de evaluación, y — la parte que lo hace valioso — una formulación explícita del bucle de retroalimentación entre la robustez propia de un agente y su utilidad como herramienta de seguridad.

Cómo funciona

La revisión divide el campo en dos mitades y luego las conecta.

La primera, la autoseguridad (self-security), es la superficie de ataque habitual. Los autores organizan las amenazas según su origen en lugar de su síntoma. Las superficies internas son los propios componentes del agente: el modelo, su bucle de planificación y razonamiento, su memoria y la manera en que encadena las llamadas a herramientas. Las superficies externas abarcan todo lo que el agente ingiere o toca: prompts de usuario, documentos y páginas web recuperados, salidas de herramientas y otros agentes. Este corte por origen es útil porque un mismo fallo visible — el agente hace lo que no debería — puede llegar por puertas muy distintas, y cada puerta exige un control distinto. Las mitigaciones correspondientes van del filtrado de entradas y salidas a la supervisión en tiempo de ejecución, pasando por la limitación de herramientas al mínimo privilegio y la verificación de integridad de la memoria, junto con los bancos de prueba que miden si algo de ello funciona.

La segunda mitad, la ciberseguridad potenciada (empowered cybersecurity), ve a los agentes como operadores dentro del ciclo ofensa-defensa: reconocimiento, descubrimiento de vulnerabilidades, explotación, detección, clasificación, respuesta. Los autores presentan lo que describen como el primer marco de «agent-empowerment» alineado con todo ese ciclo, cubriendo tanto los usos defensivos (un agente que caza una amenaza o reproduce un fallo) como los ofensivos (un agente que encadena una intrusión de principio a fin).

El vínculo entre ambas mitades es la tesis central: una sinergia de retroalimentación positiva. Un agente más robusto es un operador de seguridad más fiable, y las lecciones de desplegar agentes en trabajo adversario retroalimentan su propio endurecimiento. Ambas capacidades avanzan juntas, o no avanzan.

Por qué importa

Se trata de una síntesis, no de un descubrimiento: su valor está en el replanteamiento más que en la novedad. Tres puntos destacan para los profesionales.

Primero, la taxonomía de amenazas por origen es una mejor herramienta de planificación que una por síntoma. Si cataloga los riesgos como «el agente filtró datos» o «el agente ejecutó el comando equivocado», acaba acumulando defensas puntuales. Si cataloga por origen — contenido recuperado no confiable, descripción de herramienta envenenada, entrada de memoria manipulada — puede situar un control en cada punto de entrada y razonar sobre la cobertura. Esto coincide con la dirección de marcos prácticos como el Top 10 de OWASP para aplicaciones LLM y con la conocida observación de que el peligro se concentra donde un agente combina datos privados, entrada no confiable y capacidad de actuar — el trío letal.

Segundo, el encuadre por dualidad corrige con acierto la compartimentación de los equipos. Quienes hacen red teaming de un agente interno y quienes despliegan agentes en el SOC suelen ser personas distintas, y el argumento de la revisión es que sus trabajos se componen: cada lección defensiva es también una ofensiva, y viceversa. Es incómodo pero exacto, y es la misma tensión visible en incidentes reales donde los agentes automatizan intrusiones con la misma facilidad con que automatizan la caza de amenazas.

Dos advertencias. Una revisión hereda los puntos ciegos del campo que resume: los ataques veloces publicados tras la fecha de corte no aparecerán, y la «sinergia de retroalimentación positiva» se presenta como un encuadre, no como un efecto medido. Léala como un mapa del terreno, no como prueba de que una defensa concreta funciona.

Defensas

La revisión es defensiva por construcción; las conclusiones para quien opera agentes son concretas.

  1. Inventaríe su superficie de ataque por origen, no por síntoma. Enumere cada lugar por donde puede entrar contenido no confiable — prompts, documentos recuperados, salidas de herramientas, memoria, agentes pares — y confirme que hay un control en cada uno. Las brechas se ven mejor así.

  2. Limite las herramientas al mínimo privilegio. La mayoría de los incidentes graves implican una capacidad demasiado amplia. Restrinja lo que cada herramienta puede hacer y exija aprobación explícita para acciones de alto impacto, en línea con la guía sobre abuso de herramientas.

  3. Proteja la memoria como un canal no confiable. La memoria persistente es un punto de entrada, no solo almacenamiento. Valide y atribuya lo que se escribe en ella, porque el envenenamiento de memoria sobrevive entre sesiones.

  4. Mida con bancos de prueba adversarios, no con demos. El inventario de marcos de evaluación de la revisión existe precisamente porque un recorrido feliz no dice nada sobre la robustez. Pruebe contra las clases de ataque y siga tanto los falsos negativos como los falsos positivos.

  5. Trate las capacidades ofensivas y defensivas como vinculadas. Si despliega agentes para seguridad, asuma que la misma capacidad está al alcance de los adversarios, y haga que los hallazgos de cada lado informen al otro.

Estado

ElementoReferenciaFechaNotas
Revisión (v1)arXiv 2606.284502026-06-26Sistematización autoseguridad + ciberseguridad potenciada
Versión de revistaArtif Intell Rev, DOI 10.1007/s10462-026-11563-02026Revisada por pares; 73 páginas, 12 figuras, 9 tablas
Referencia de encuadreTop 10 OWASP LLM2025Categorías de amenazas de agentes por origen

Conviene leer esta revisión como un argumento sobre cómo organizar el problema. Un agente es a la vez algo que se defiende y algo que se despliega, y la tesis es que no se puede hacer bien ninguna de las dos cosas ignorando la otra. Es una tesis modesta, pero es la que la mayoría de los equipos — divididos entre una función de AppSec que endurece los agentes y un SOC que los pone en marcha — aún no han interiorizado.

Sources