Underc0de - La Casa de los Informáticos

El rápido avance y adopción de la inteligencia artificial (IA) de código abierto está transformando la forma en que empresas y particulares despliegan grandes modelos de lenguaje (LLM). Sin embargo, esta democratización tecnológica también está generando una nueva superficie de ataque masiva y poco controlada, según una investigación conjunta de SentinelOne, SentinelLABS y Censys.

El estudio revela la existencia de una "capa no gestionada y públicamente accesible de infraestructura de IA", compuesta por más de 175.000 hosts únicos de Ollama expuestos a Internet en 130 países. Esta infraestructura, que opera fuera de los mecanismos de seguridad y monitorización tradicionales, representa un riesgo crítico para la seguridad global de los sistemas de IA.

Ollama: IA local convertida en un riesgo global

Ollama es un framework de código abierto que permite descargar, ejecutar y gestionar modelos de lenguaje de gran tamaño de forma local en Windows, macOS y Linux. Por defecto, el servicio se vincula a la dirección local 127.0.0.1:11434, lo que limita su acceso al propio sistema.

No obstante, los investigadores advierten que un cambio de configuración trivial —vincular el servicio a 0.0.0.0 o a una interfaz pública— basta para exponer completamente el endpoint a Internet, sin autenticación ni controles de acceso adecuados. Esta facilidad de exposición es uno de los factores clave detrás de la proliferación de instancias vulnerables.

Un problema verdaderamente global

El análisis de Censys muestra que más del 30% de las exposiciones se concentran en China, seguida de países como Estados Unidos, Alemania, Francia, Corea del Sur, India, Rusia, Singapur, Brasil y Reino Unido. Los hosts detectados no se limitan a entornos cloud, sino que incluyen redes residenciales, lo que complica enormemente la gobernanza y la visibilidad para los equipos de seguridad.

Esta dispersión geográfica y topológica refuerza la idea de que la infraestructura de IA ya no está confinada a centros de datos corporativos, sino que se está desplegando en el borde (edge computing), muchas veces sin políticas de seguridad formales.

Llamadas de herramientas: el verdadero punto crítico

Uno de los hallazgos más preocupantes es que más del 48% de los hosts Ollama expuestos anuncian capacidades de llamada de herramientas (tool calling) a través de sus APIs. Esta funcionalidad permite que los LLM:

• Ejecuten código
• Accedan a APIs externas
• Consulten bases de datos
• Interactúen con sistemas internos

Según los investigadores Gabriel Bernadett-Shapiro y Silas Cutler, casi la mitad de los sistemas observados están integrados en flujos operativos reales, lo que amplía drásticamente el impacto potencial de una explotación.

Citar"Las capacidades de llamada de herramientas alteran fundamentalmente el modelo de amenaza. Un endpoint de generación de texto puede producir contenido dañino, pero un endpoint habilitado por herramientas puede ejecutar operaciones privilegiadas".

Cuando esta capacidad se combina con autenticación insuficiente y exposición directa a Internet, se crea lo que los expertos califican como el riesgo de mayor gravedad dentro del ecosistema LLM actual.

Modelos sin censura y capacidades avanzadas

La investigación también identificó 201 hosts que ejecutan plantillas de prompts sin censura, eliminando salvaguardas básicas y permitiendo usos potencialmente maliciosos. Además, se detectaron instancias con capacidades multimodales avanzadas, que incluyen:

• Razonamiento complejo
• Procesamiento de visión
• Interacciones más allá del texto tradicional

Este tipo de configuraciones expuestas incrementa el valor de la infraestructura para actores maliciosos.

LLMjacking: monetización criminal de la IA expuesta

La consecuencia directa de esta exposición es el LLMjacking, una técnica mediante la cual los atacantes secuestran recursos LLM ajenos para su propio beneficio, mientras la víctima asume los costes de computación.

Los usos maliciosos documentados incluyen:

• Generación masiva de spam
• Campañas de desinformación
• Minería de criptomonedas
• Reventa de acceso a infraestructura de IA

Lejos de ser un riesgo teórico, un informe reciente de Pillar Security confirma que los atacantes están explotando activamente endpoints LLM expuestos como parte de una campaña denominada Operación Bizarre Bazaar.

Un mercado negro de IA plenamente operativo

Según los investigadores Eilon Cohen y Ariel Fogel, esta operación criminal consta de tres fases bien definidas:

• Escaneo sistemático de Internet en busca de instancias Ollama, servidores vLLM y APIs compatibles con OpenAI sin autenticación.
• Validación de los endpoints, evaluando la calidad y utilidad de las respuestas.
• Comercialización del acceso a precios reducidos a través de plata[.]inc, una pasarela API LLM unificada.

Esta infraestructura ha sido atribuida a un actor de amenazas conocido como Hecker, también identificado como Sakuya o LiveGamer101, y representa el primer mercado documentado de LLMjacking con atribución completa.

Un nuevo reto para la ciberseguridad moderna

La naturaleza descentralizada de Ollama y otros frameworks de IA local crea brechas significativas de gobernanza, especialmente cuando se despliegan en entornos residenciales. Además, estas instancias pueden utilizarse como proxies para tráfico malicioso, facilitando inyecciones rápidas y evasión de controles tradicionales.

Los investigadores concluyen que los LLM ya no deben tratarse como simples aplicaciones experimentales:

Citar"Los LLM se están desplegando cada vez más en el borde para traducir instrucciones en acciones. Por ello, deben contar con los mismos controles de autenticación, monitorización y segmentación de red que cualquier infraestructura accesible externamente".

Fuente: https://thehackernews.com/