Cuando la inyección habla el idioma del documento: la brecha de detección por camuflaje
Dos estudios de 2026 muestran que las inyecciones redactadas con la jerga propia de un documento eluden los clasificadores de guarda — Llama Guard 3 no detectó ninguna. Parafrasear el contenido recuperado es la defensa más sólida, pero los resultados varían según el modelo.
¿Qué es esto?
Los clasificadores de guarda son la capa que muchos equipos colocan delante de un agente con recuperación aumentada (RAG) para interceptar inyecciones de prompt en contenido no confiable antes de que el modelo actúe. Dos estudios de 2026 del Data Science Institute de Columbia muestran que esa capa tiene un punto ciego sistemático: una inyección redactada con el mismo vocabulario y la misma estructura de autoridad que el documento circundante se vuelve muy difícil de detectar.
El primer artículo, Blind Spots in the Guard (mayo de 2026), da nombre al fenómeno —inyección con camuflaje de dominio— y mide cuánto cae la detección. El segundo, Evaluating Prompting-Based Defenses Against Domain-Camouflaged Injection Attacks (junio de 2026), plantea la pregunta práctica: una vez que el clasificador queda ciego, ¿qué defensas siguen funcionando? Ambos emplean solo técnicas ya publicadas contra bancos de prueba, sin exploit operativo: el objetivo es cartografiar una brecha defensiva, no entregar un arma.
Cómo funciona
La mayoría de los detectores de inyección se calibran con cargas que parecen ataques: un imperativo fuera de lugar, un «ignora las instrucciones anteriores», una URL sospechosa. El camuflaje elimina esas señales. En lugar de una orden brusca insertada en un escrito jurídico o una factura, la instrucción maliciosa se formula en el registro del documento —la cadencia y la terminología que usaría una cláusula o un memorando reales—, de modo que se lee como contenido nativo y no como una intrusión.
El efecto medido es grande. En Llama 3.1 8B, la detección de inyecciones cayó del 93,8 % al 9,7 % una vez camufladas las cargas; en Gemini 2.0 Flash bajó del 100 % al 55,6 %. Los autores formalizan esta caída como Camouflage Detection Gap (CDG) —la diferencia en la tasa de detección entre una carga estática y su gemela adaptada al dominio— y la encuentran amplia y estadísticamente significativa en 45 tareas de tres dominios. Más llamativo aún: Llama Guard 3, un clasificador de seguridad de producción, no detectó ninguna carga camuflada, por lo que el punto ciego no se limita a los detectores ligeros de pocos ejemplos. En configuraciones multiagente con debate, una simple inyección estática podía amplificarse hasta 9,9× en los modelos más pequeños, mientras que los modelos más robustos resistían más.
Tasa de detección (esquemática — según Blind Spots in the Guard)
----------------------------------------------------------------
Carga estática Llama 3.1 8B: 93,8 % Gemini 2.0 Flash: 100 %
Carga camuflada Llama 3.1 8B: 9,7 % Gemini 2.0 Flash: 55,6 %
Llama Guard 3 sobre cargas camufladas: 0 %
Por qué importa
El punto ciego golpea justo donde se despliegan los agentes con recuperación: finanzas, legal, salud —dominios de lenguaje denso y formal que dan cobertura al camuflaje—. Un único clasificador de guarda delante de una canalización RAG es una arquitectura habitual, y estos resultados indican que un clasificador que parece sólido en un banco estándar puede desmoronarse ante contenido escrito para mimetizarse. Como las pruebas abarcan varias familias de modelos, se trata de una propiedad del enfoque de detección, no de una rareza de un proveedor. Refuerza el mensaje de siempre —codificado en OWASP LLM01: Prompt Injection— de que un detector por sí solo no es un control en el que apoyarse.
Defensas
El segundo artículo evaluó cinco defensas basadas en prompting —spotlighting, paráfrasis, sándwich de prompt y dos combinaciones— sobre Claude Haiku, Llama 3.1 8B y Gemini 2.0 Flash, a lo largo de 3510 ensayos. Los resultados son útiles precisamente porque son dispares:
- Parafrasee el contenido recuperado antes de que el agente lo lea. Reescribir el texto no confiable en lenguaje neutro fue la defensa más consistente, reduciendo el éxito de los ataques camuflados entre un 55 % y un 84 % según el modelo. La paráfrasis borra la cadencia imitada que permitía a la carga mimetizarse.
- Espere defensas dependientes del modelo. El spotlighting redujo a la mitad el éxito de los ataques en Claude Haiku, pero no aportó ningún beneficio en Llama 3.1 8B. No traslade una defensa entre modelos por fe: mídala en el modelo que realmente despliega.
- No dependa de un solo clasificador de guarda. Trate la detección como una capa entre varias, no como el control. Asuma que parte del contenido camuflado pasa y limite lo que el agente puede hacer con él.
- Sanee por procedencia. Trabajos complementarios de junio de 2026, PARSE, abogan por un saneamiento del texto recuperado consciente de su procedencia, para que los datos de fuentes no confiables no puedan llevar instrucciones a la ruta de acción del agente.
- Limite la autonomía aguas abajo. Mantenga el mínimo privilegio y la aprobación humana en las acciones con consecuencias, para que una inyección no detectada no pueda mover dinero ni exfiltrar datos en silencio.
Ningún truco de prompting por sí solo cerró la brecha en todas las configuraciones, y los autores advierten que los rankings de banco de prueba pueden no transferirse a documentos empresariales reales: tómelos como puntos de partida para probar, no como respuestas definitivas.
Estado
| Elemento | Referencia | Fecha |
|---|---|---|
| Inyección con camuflaje de dominio + Camouflage Detection Gap | Blind Spots in the Guard (arXiv:2605.22001) | 2026-05 |
| Evaluación de cinco defensas basadas en prompting | arXiv:2606.18530 | 2026-06 |
| Saneamiento del recuperado por procedencia | PARSE (arXiv:2606.17467) | 2026-06 |
| Evaluación crítica de defensas PI (contexto) | arXiv:2505.18333 | 2025-05 |
| Referencia de marco | OWASP LLM01: Prompt Injection | 2025 |
La conclusión: un clasificador de guarda con buenas puntuaciones en un banco de prueba aún puede pasar por alto una inyección escrita con la propia voz del documento objetivo. La detección es una capa, no una garantía: combínela con paráfrasis, saneamiento por procedencia y límites estrictos sobre lo que el agente tiene permitido hacer.