La taxonomía de inyección de prompts de CrowdStrike supera las 200 técnicas
El 7 de julio de 2026, CrowdStrike añadió 18 entradas a su taxonomía de inyección de prompts, ya con más de 200 técnicas. Cinco nuevas clases muestran cómo los ataques se ocultan en disparadores diferidos, tokens de control falsificados y datos de contexto de confianza.
¿Qué es esto?
El 7 de julio de 2026, el equipo de investigación en seguridad de IA de CrowdStrike publicó una actualización de lo que presenta como la mayor taxonomía de inyección de prompts del sector. La actualización añade 18 nuevas entradas, con lo que el catálogo llega a más de 200 técnicas distintas, y la entrada del blog detalla cinco de ellas. Es un artefacto defensivo, no una publicación de ataque: un vocabulario común que permite a los equipos de red team, a los ingenieros de detección y a los responsables de modelado de amenazas describir cómo se comportan realmente los ataques de inyección, en lugar de reducirlo todo a la etiqueta «inyección de prompts».
El enfoque importa porque la superficie de ataque se ha desplazado. A medida que los despliegues pasan de los chatbots a los agentes capaces de rastrear páginas web, leer almacenes de archivos, consultar bases de datos y escribir comandos de shell, la inyección indirecta —instrucciones maliciosas ocultas en los datos que consume un agente— se ha convertido en la preocupación dominante. Las cinco nuevas clases valen menos por la novedad de un truco aislado que por la sistematización de patrones de evasión que los defensores observan de forma recurrente. Este artículo resume la taxonomía pública; no reproduce ningún payload explotable.
Cómo funciona
Cada una de las cinco técnicas destacadas ataca una suposición distinta que el modelo hace sobre su entrada.
La adición de reglas activada por disparador coloca una instrucción que permanece latente hasta que aparece una palabra clave, un evento o una condición. En la revisión, el texto inyectado parece inerte, y ese es justamente el objetivo: el comportamiento malicioso solo se manifiesta cuando surge el disparador, lo que burla la inspección puntual.
La supresión de tokens cognitivos no obliga directamente a cumplir. En cambio, desalienta al modelo de producir los tokens asociados al rechazo —fórmulas de disculpa, lenguaje de política, advertencias de seguridad—, desviando sus elecciones lingüísticas de los patrones de rechazo establecidos hacia salidas más arriesgadas.
La descomposición algorítmica del payload fragmenta una instrucción maliciosa en piezas —palabras dispersas en una lista, caracteres, variables o pasos— y pide al modelo que la reensamble y actúe. Cada fragmento parece inofensivo para un escáner; es el modelo el que realiza la síntesis peligrosa.
La inyección de tokens especiales imita los marcadores estructurales que los modelos usan para separar instrucciones de sistema, entrada de usuario y salida de herramientas —identificadores de rol, delimitadores, formato de llamada a herramientas—. Al falsificar esas fronteras, el atacante intenta elevar contenido no confiable al rango de directiva de sistema o de un nuevo bloque de instrucciones.
La inyección de datos de contexto sin conocimiento del usuario explota la brecha entre el contexto de confianza y la instrucción ejecutable. El prompt de la víctima es inofensivo; el payload viaja dentro de los datos circundantes que ella introduce sin saberlo: una nota pegada, un archivo adjunto subido, un correo reenviado, un registro de CRM, o contenido insertado por una extensión o utilidad de sincronización comprometida. El modelo procesa entonces la instrucción oculta dentro del entorno autenticado del usuario.
El hilo común es que ninguna de estas técnicas se apoya en el clásico «ignora las instrucciones anteriores». Operan mediante activación diferida, restricción semántica, suplantación de fronteras, fragmentación y procedimiento implícito, y se combinan, de modo que un mismo incidente puede acumular varias a la vez.
Por qué importa
Una etiqueta única de «inyección de prompts» oculta la cadena de ataque y priva a la ingeniería de detección del detalle que necesita. Si un incidente es en realidad una inyección indirecta que porta una frontera de llamada a herramienta falsificada y un payload descompuesto, designarlo con un solo término no dice nada sobre qué control falló. Una taxonomía estructurada ofrece un mapa: nombra la técnica, señala por dónde entra en el pipeline y hace describibles los ataques compuestos.
La exposición es amplia porque el contexto del modelo procede ahora de muchas fuentes: prompts, archivos, corpus RAG, memoria de agente, API, salidas de herramientas, contenido de navegador, correos y datos SaaS. Cada una es un vector de inyección potencial, y las técnicas de disparo diferido o de datos de contexto burlan específicamente la intuición de que revisar el prompt del usuario basta.
Defensas
Trate toda fuente de contexto del modelo como entrada no confiable, no solo el prompt del usuario. Archivos, documentos recuperados, entradas de memoria, salidas de herramientas y datos de terceros deben entrar en el modelo de amenazas, porque ahí residen la inyección indirecta y la inyección por datos de contexto.
Lleve el red teaming más allá de «ignora las instrucciones anteriores». Pruebe la suplantación de fronteras, la activación diferida, la descomposición algorítmica, las sustituciones inusuales de caracteres o sinónimos, y las instrucciones implícitas en vez de explícitas. Un conjunto de pruebas limitado a los jailbreaks evidentes pasará por alto las clases anteriores.
Diseñe la detección para ataques compuestos. Registre prompts y respuestas con suficiente estructura para reconstruir una cadena, y evite etiquetar los incidentes con un simple «inyección de prompts» genérico: capture las técnicas constituyentes para poder afinar los controles.
Endurezca las fronteras estructurales. No permita que un texto proporcionado por el usuario o por una herramienta reintroduzca los delimitadores, etiquetas de rol o marcadores de llamada a herramientas que su framework usa internamente; elimínelos o escápelos, y verifique que el contenido no confiable no pueda ascender al rol de sistema.
Añada visibilidad en tiempo de ejecución del tráfico de IA. Saber quién invoca qué modelos y agentes, y si los prompts o respuestas transportan instrucciones peligrosas o datos sensibles, es lo que convierte la taxonomía de un documento de referencia en un control operativo.
Estado
| Elemento | Detalle |
|---|---|
| Publicación | Blog de CrowdStrike, 7 de julio de 2026 (actualizado el 8 de julio de 2026) |
| Autor | David Keller, investigación en seguridad de IA de CrowdStrike |
| Cambio | 18 nuevas entradas; catálogo ahora con más de 200 técnicas |
| Nuevas clases detalladas | Trigger-Activated Rule Addition (PT0201); Cognitive Token Suppression (PT0197); Algorithmic Payload Decomposition (PT0200); Special Token Injection (PT0198); Unwitting User Context-Data Injection (IM0018) |
| Naturaleza | Taxonomía defensiva / referencia para red team y detección — sin CVE, sin publicación de exploit |