El engaño cibernético funciona mejor con atacantes de IA que con humanos
Un estudio de junio de 2026 enfrentó a 21 modelos atacantes con trampas de engaño clásicas: todos pican más que los humanos — y siguen picando incluso tras identificar la trampa.
¿Qué es esto?
El 19 de junio de 2026 se publicó Honeyquest for LLMs: Rethinking Cyber Deception for AI Attackers, un estudio empírico que plantea una pregunta sencilla pero pendiente: ¿funciona el engaño cibernético — los honeytokens, señuelos y trampas que los defensores siembran para atrapar intrusos — igual contra atacantes gobernados por IA que contra humanos?
Toda la práctica del engaño cibernético descansa sobre supuestos centrados en el ser humano: qué parece tentador, qué parece sospechoso y cómo se puede desviar la atención de un intruso. A medida que los agentes de ataque autónomos basados en LLM pasan de la demostración a la operación real, ninguno de esos supuestos está garantizado. El estudio adapta el instrumento Honeyquest original (presentado en RAID 2024) a un marco automatizado y mide, a gran escala, cómo juzgan los «atacantes» LLM material de reconocimiento sembrado con trampas. El resultado destacado: los atacantes de IA constituyen una clase aparte y son notablemente más fáciles de engañar que los humanos.
Cómo funciona
Honeyquest presenta al atacante artefactos de reconocimiento realistas — fragmentos de configuración, cadenas que parecen credenciales, detalles de red — donde algunos elementos son benignos y otros son trampas deliberadamente atractivas, como un honeytoken que solo un intruso tendría motivo para explotar. El instrumento registra qué líneas «marca» el atacante como dignas de interés, convirtiendo el juicio del atacante en una señal medible. Se trata de una medición defensiva, no de un exploit: las trampas son señuelos y lo que se evalúa es el juicio, no la capacidad ofensiva.
La adaptación a LLM ejecutó una cohorte de 21 modelos que abarcaba 10 proveedores, de pesos abiertos y cerrados, desde unos 8 000 millones hasta más de un billón de parámetros. Produjo 10 962 respuestas sobre 174 consultas de reconocimiento, comparadas con una línea base de 47 participantes humanos en el mismo conjunto de tareas.
Tres hallazgos sobresalen. Primero, todos los modelos de la cohorte caen en las trampas a una tasa significativamente superior a la de los humanos. Segundo, un efecto defensivo bien documentado en humanos — la desviación de la atención, donde un señuelo bien colocado aleja al atacante de los activos reales — está estadísticamente ausente en la cohorte LLM. Tercero, y lo más llamativo, los autores documentan una brecha entre reconocimiento y acción: los modelos escriben con frecuencia, en sus propias trazas de razonamiento, que una línea parece una trampa y aun así actúan sobre ella el 73,4 % de las veces. Que un modelo nombre la trampa en su razonamiento no predice si la evita (Spearman r = +0,08, p = 0,73): decir «esto es un cebo» y morder el cebo están esencialmente descorrelacionados.
Por qué importa
Para los defensores, la implicación contraintuitiva es alentadora: las técnicas de engaño que ya conoce son especialmente eficaces contra atacantes automáticos. Un honeytoken que un pentester humano experimentado esquivaría es un señuelo que un agente autónomo probablemente tomará — y lo tomará incluso cuando su propia cadena de razonamiento señala el riesgo. A medida que los agentes ofensivos aumentan el volumen de reconocimiento que realizan, unas trampas baratas se convierten en una capa de detección de alta señal, precisamente contra los atacantes más difíciles de limitar.
Los mismos resultados traen una advertencia. Si la desviación de la atención no funciona en las máquinas, y el reconocimiento verbalizado no se traduce en evitación, entonces un engaño ajustado para engañar a humanos puede dejar puntos ciegos — o malgastar esfuerzo en trucos que solo funcionaban por sesgos cognitivos humanos que el modelo no comparte. No debe suponerse que un engaño calibrado para equipos rojos humanos se transfiere sin cambios, y la vulnerabilidad variaba mucho entre modelos: el modelo de atacante que tenga enfrente importa.
Defensas
Coloque honeytokens y activos señuelo en las rutas que un agente autónomo recorrería realmente — repositorios, archivos de configuración, variables de entorno, almacenes de credenciales — y alerte ante cualquier interacción. El mensaje práctico central del estudio es que estos cables trampa se disparan de forma más fiable contra atacantes de IA que contra humanos: es uno de los controles más baratos y rentables frente a amenazas agénticas. Trabajos relacionados sobre detección de agentes mediante honeytokens muestran cómo integrar la misma idea en los agentes con herramientas que usted opera.
No confíe en que «el modelo se dará cuenta». Dado que el reconocimiento no predice la evitación, un modelo que razona «esto parece un honeypot» no es ni un atacante seguro ni prueba de que su engaño haya fallado. Instrumente la acción — el acceso, la lectura, el intento de exfiltración — no la intención declarada del atacante.
Trate la defensa activa nativa para IA como un problema de diseño propio, y no como un simple maquillaje del engaño centrado en humanos. Vuelva a medir las tasas de picada contra los modelos de agente que espera enfrentar, retire los trucos que dependen de sesgos humanos y conserve los señuelos que las máquinas toman de forma fiable. Por último, combine el engaño con el mínimo privilegio y controles de procedencia (véase la taxonomía de trampas para agentes de DeepMind) para que una trampa activada contenga el radio de impacto en lugar de solo registrarlo.
Estado
| Elemento | Detalle |
|---|---|
| Fuente | Honeyquest for LLMs: Rethinking Cyber Deception for AI Attackers, arXiv:2606.21037, enviado el 19 de junio de 2026 |
| Método | Cohorte de 21 LLM, 10 proveedores, 8 mil M–1 billón+ de parámetros; 10 962 respuestas sobre 174 consultas frente a 47 participantes humanos |
| Cifra clave | Brecha reconocimiento-acción: trampas explotadas el 73,4 % de las veces pese a ser identificadas; reconocimiento descorrelacionado de la evitación (r = +0,08, p = 0,73) |
| Naturaleza | Resultado de investigación, defensivo; ningún exploit reproducido |
| Instrumento | Honeyquest, originalmente arXiv:2408.10796 (RAID 2024) |