sistema: OPERATIVO
← volver a todos los hacks
RESEARCH MEDIUM NEW

STAR Labs de Straiker: qué revelan 1.700 exploits de agentes

Un informe de un proveedor lanzó exploits reales contra agentes de IA de código, productividad e internos. Los impactos difieren según el tipo de despliegue, pero las lecciones defensivas se generalizan.

2026-07-17 // 6 min affects: cursor, claude-code, github-copilot, chatgpt-enterprise, m365-copilot, gemini-for-workspace, perplexity-comet, claude-for-chrome, amazon-bedrock-agentcore, microsoft-foundry, mcp

¿Qué es esto?

El 14 de julio de 2026, el equipo de investigación STAR Labs de Straiker publicó el Volumen I de su informe de amenazas. Los investigadores ejecutaron miles de escenarios adversos contra agentes de IA en producción, distribuidos en tres categorías de despliegue —agentes de código, agentes de productividad y navegación, y agentes internos hechos a medida— y registraron más de 1.700 exploits exitosos.

El interés del informe reside menos en una técnica aislada que en su desglose de qué logra realmente un exploit exitoso, ordenado según dónde se ejecuta el agente. Conviene una advertencia inicial: son cifras comunicadas por un proveedor cuyo negocio es vender seguridad para agentes, y no han sido replicadas de forma independiente. Tómelas como una señal direccional sobre la forma de la superficie de ataque, no como estadísticas consolidadas.

Cómo funciona

El informe agrupa los agentes por modo de despliegue y reporta un perfil de impacto distinto para cada uno.

Agentes de código: las herramientas que leen y escriben código en la máquina de un desarrollador; Cursor, Claude Code y GitHub Copilot figuran en el alcance. De los ataques que tuvieron éxito aquí, el 36 % alcanzó la ejecución remota de código en la propia máquina del desarrollador, la misma que aloja el código fuente y las credenciales de la nube. En una prueba de concepto, el equipo compró anuncios patrocinados para superar una página de instalación legítima y recolectar credenciales de agentes de código, un recordatorio de que el recorrido de instalación e incorporación es en sí una superficie de ataque, no un manual que reproducir.

Agentes de productividad: los asistentes y agentes de navegación integrados en el trabajo diario (el informe cita ChatGPT Enterprise, Microsoft 365 Copilot, Gemini for Workspace, Perplexity Comet y Claude for Chrome) que leen correo, documentos, conversaciones y la web en nombre del usuario. Para ellos, el 91 % de los ataques exitosos terminó en exfiltración silenciosa de datos, sin jailbreak, sin enlace de phishing y sin malware. Es la forma clásica de la «tríada letal»: acceso a datos privados, exposición a contenido no confiable y un canal de salida.

Agentes internos: los que una empresa construye para sí misma en plataformas como Amazon Bedrock AgentCore, Microsoft Foundry y Google Gemini Enterprise. Operan dentro del perímetro de confianza corporativo, de modo que comprometer uno ofrece el radio de impacto más amplio, alcanzando sistemas internos que los agentes de código o de productividad nunca tocan.

El informe también señala una cadena de suministro compartida: indica que alrededor del 24 % de los más de 17.651 servidores Model Context Protocol rastreados presentan al menos una vulnerabilidad, que el 28,6 % de las 130.667 herramientas catalogadas son de alto riesgo a primera vista, y que en un marketplace cerca del 5 % de los Skills publicados eran maliciosos o de alto riesgo. Finalmente, introduce dos conceptos —AiPT (AI-Powered Persistent Threats: atacantes que son ellos mismos agentes, con kits ofensivos) y LAVA (Language-Augmented Vulnerabilities in Applications: la capa semántica sobre la que razona un agente)— bajo un marco de cuatro capas y tres tipos de agentes.

Por qué importa

El contraste de impactos es la parte útil. El compromiso de un agente de código es ruidoso y destructivo (ejecución de código en una máquina con credenciales); el de un agente de productividad es silencioso (los datos salen sin dejar artefacto). Ese modo de fallo silencioso es justo lo que el instrumental tradicional no ve: la detección en endpoints, los cortafuegos y los escáneres de vulnerabilidades inspeccionan código, endpoints y paquetes, no la capa semántica donde el agente decide ejecutar una instrucción maliciosa incrustada en el contenido que lee. Un solo servidor MCP o Skill envenenado, apunta el informe, alcanza todos los tipos de agente a la vez, por lo que la higiene de la cadena de suministro no es opcional. Nada de esto depende de creer los porcentajes exactos: la lección estructural se sostiene con independencia de que las cifras se repliquen.

Defensas

  1. Trate el recorrido de instalación y actualización del agente como cadena de suministro. Fije los dominios oficiales, verifique las fuentes de instalación y desconfíe de resultados de búsqueda patrocinados que imiten una página de instalación.
  2. Aplique la regla de la tríada letal a los agentes de productividad. Evite reunir en una misma sesión acceso a datos privados, contenido no confiable y un canal de salida; acote o revise la salida de los agentes que navegan y leen correo.
  3. Imponga el mínimo privilegio y fronteras de confianza estrictas a los agentes internos. Segmente para que un agente comprometido no pueda pivotar a escala de toda la empresa; reduzca al máximo el alcance de las credenciales.
  4. Gobierne la cadena de suministro de MCP y Skills. Ponga en lista blanca servidores y herramientas verificados, revise las descripciones de herramientas en busca de inyecciones y rug-pulls, y vuelva a verificar tras cada actualización.
  5. Añada observabilidad en la capa semántica. Registre las llamadas a herramientas junto con el contexto y el razonamiento que las desencadenaron; un EDR clásico no hará aflorar una decisión de exfiltración silenciosa.
  6. Asuma un punto ciego de detección para la exfiltración silenciosa. Vigile específicamente la salida de datos de los agentes de productividad, ya que los ataques exitosos allí rara vez dejan otra huella.

Estado

ElementoReferenciaFechaNotas
Informe publicadoSTAR Labs Threat Research, Vol. I2026-07-14Cifras del proveedor; no replicadas de forma independiente
Agentes de códigoCursor, Claude Code, GitHub Copilot2026-07-1436 % de ataques exitosos → RCE en la máquina del desarrollador
Agentes de productividadChatGPT Enterprise, M365 Copilot, Gemini for Workspace, Perplexity Comet, Claude for Chrome2026-07-1491 % de ataques exitosos → exfiltración silenciosa
Cadena de suministroServidores / herramientas / Skills MCP2026-07-14~24 % de servidores con ≥1 vuln; 28,6 % de herramientas de alto riesgo

La conclusión no es el ranking de porcentajes, sino el patrón que lo sustenta: el riesgo de los agentes lo moldea el contexto de despliegue, los impactos más silenciosos escapan a las herramientas que la mayoría de las empresas ya operan, y una sola dependencia envenenada cruza de golpe todas las fronteras de agentes.

Las cifras provienen del comunicado y del micrositio del informe del proveedor y se reportan como datos del proveedor, no verificados de forma independiente. No se reproduce ninguna prueba de concepto.

Sources