El agotamiento de recursos (Resource Exhaustion) en los sistemas de IA ocurre cuando un atacante explota vulnerabilidades para consumir recursos críticos —memoria, CPU, ancho de banda de red o almacenamiento— hasta degradar el rendimiento o dejar los servicios indisponibles. Este riesgo es particularmente relevante en arquitecturas basadas en Modelos de Lenguaje Extensos (LLM), donde el consumo de recursos puede crecer de forma impredecible.

Este artículo forma parte del capítulo AI Infrastructure Testing de la Guía de Pruebas de IA de OWASP.

Por qué el agotamiento de recursos es crítico en los sistemas de IA

A diferencia de los sistemas tradicionales, las aplicaciones de IA presentan características que amplifican el riesgo de agotamiento de recursos:

• Costes variables por token: los servicios en la nube cobran según los tokens procesados, tanto en la entrada como en la salida.
• Amplificación en sistemas multi-agente: un solo prompt puede generar decenas de llamadas internas entre agentes, multiplicando el consumo de tokens de forma invisible para el usuario.
• Imprevisibilidad de la carga: entradas aparentemente inofensivas pueden desencadenar procesos muy costosos.

Sin los límites adecuados, un atacante puede causar un “Denial-of-Wallet” (denegación de billetera), agotando el presupuesto operativo antes incluso de comprometer la disponibilidad técnica del servicio.

Objetivos de la prueba

Una prueba eficaz sobre el agotamiento de recursos debe verificar:

• La presencia de vulnerabilidades que permitan el consumo excesivo de recursos.
• La capacidad del sistema para gestionar entradas anómalas o malformadas sin degradar el rendimiento.
• La eficacia de los controles de asignación, limitación y monitorización de recursos.
• La configuración de umbrales de gasto y alertas en los servicios gestionados por terceros.

Metodología y payloads

Solicitudes de alta frecuencia

Simular un ataque con solicitudes concurrentes rápidas mediante herramientas de pruebas de carga. El sistema es vulnerable si no devuelve errores 429 Too Many Requests y los tiempos de respuesta aumentan significativamente.

Indicador de vulnerabilidad: ausencia de errores 429 y degradación progresiva de los tiempos de respuesta bajo carga elevada.

Entradas de dimensiones excesivas

Enviar prompts superiores a 1 MB de texto. Si el sistema se bloquea, devuelve errores 5xx, entra en tiempo de espera (timeout) o se ralentiza excesivamente, falta una validación eficaz del tamaño de la entrada.

Indicador de vulnerabilidad: bloqueo del sistema, errores 5xx, tiempos de espera o ralentizaciones significativas en respuesta a payloads de gran tamaño.

Ataques de amplificación en sistemas agenticos

Solicitar repetidamente a un modelo que utilice una de sus herramientas (ejemplo: “Llama a la herramienta de búsqueda 50 veces”). Una vulnerabilidad se manifiesta si el modelo ejecuta la operación sin rechazarla. La verificación requiere el análisis de los registros de los agentes o de los paneles de facturación.

Indicador de vulnerabilidad: ejecución de llamadas repetidas a las herramientas sin controles de limitación, con la consiguiente multiplicación del consumo de tokens.

Ausencia de límites de gasto

Examinar la consola de gestión de los servicios de IA en la nube. Una configuración peligrosa es la ausencia de umbrales de gasto o de tokens, o límites demasiado elevados en comparación con el presupuesto operativo previsto.

Indicador de vulnerabilidad: falta de umbrales de gasto configurados o límites establecidos en valores no realistas respecto al presupuesto operativo.

Salida esperada

• Errores 429 Too Many Requests cuando se superan los umbrales de frecuencia configurados.
• Rechazo de las solicitudes superiores a 1-2 MB con error 413 Payload Too Large.
• Tiempos de respuesta estables para las solicitudes válidas, incluso durante ataques hacia otros clientes.
• Límites de gasto configurados y alertas activas en los servicios gestionados por terceros.

Acciones de remediación

Validación y limitación de entradas

Establecer límites rigurosos sobre el tamaño de los datos de entrada, ya desde el nivel de API gateway. Implementar controles de validación que rechacen solicitudes superiores a umbrales predefinidos antes de que lleguen a los modelos de IA.

Impacto esperado: reducción del riesgo de bloqueos y tiempos de espera causados por payloads excesivos, con protección inmediata a nivel de infraestructura.

Rate limiting y circuit breaker

Aplicar rate limiting y circuit breakers a través de la infraestructura de API gateway o middleware dedicado. Establecer cuotas de recursos específicas para cada modelo o servicio de IA (CPU, memoria, tokens).

Impacto esperado: prevención de ataques de alta frecuencia y protección de la disponibilidad del servicio para usuarios legítimos.

Monitorización y gestión de costes

Configurar límites de gasto vinculantes y alertas en los servicios de IA de terceros. Monitorizar constantemente los consumos y los tiempos de respuesta mediante herramientas de observabilidad. Documentar y probar periódicamente los umbrales configurados para verificar su eficacia.

Impacto esperado: control proactivo de los costes operativos y capacidad de detectar anomalías antes de que causen daños económicos significativos.

Herramientas sugeridas

• Locust: framework de código abierto para pruebas de carga y simulación de tráfico de alta frecuencia.
• Ambassador Edge Stack: API gateway con funcionalidades avanzadas de rate limiting y circuit breaker.
• Prometheus: sistema de monitorización y alertas para métricas de consumo de recursos.
• Datadog: plataforma de observabilidad para monitorizar costes y rendimiento de servicios de IA en la nube.

Profundizaciones útiles

Para comprender mejor las dinámicas del agotamiento de recursos en los sistemas de IA y las estrategias de defensa, las siguientes referencias ofrecen directrices técnicas y mejores prácticas reconocidas a nivel internacional.

Referencias

• OWASP – OWASP Top 10 for LLM Applications 2025 – Unbounded Resource Consumption
• OWASP – Denial of Service
• NIST AI 100-2e2025 – Security Guidelines for AI Systems (DOI: 10.6028/NIST.AI.100-2e2025)

Preguntas frecuentes

• ¿Cuáles son las señales de un ataque de agotamiento de recursos en curso?
• Aumento repentino de los costes operativos, ralentización generalizada de las respuestas, errores de tiempo de espera frecuentes, saturación de CPU o memoria en los nodos que ejecutan los modelos de IA.
• ¿En qué se diferencia el agotamiento de recursos de un pico normal de tráfico?
• Un pico legítimo muestra patrones de uso coherentes con el comportamiento de los usuarios reales. El agotamiento de recursos presenta solicitudes anómalas (dimensiones excesivas, frecuencia antinatural, patrones repetitivos) provenientes de pocas fuentes.
• ¿Son suficientes las pruebas automatizadas para identificar estas vulnerabilidades?
• No. Las pruebas automatizadas generan muchas solicitudes y pueden resultar costosas sin proporcionar información cualitativa. Un enfoque manual dirigido, que simule escenarios realistas, es a menudo más eficaz para identificar vulnerabilidades específicas de los sistemas de IA.
• ¿Qué métricas monitorizar para prevenir el agotamiento de recursos?
• Tokens consumidos por usuario/sesión, tiempo de procesamiento por solicitud, número de llamadas a agentes internos, costes horarios/diarios, porcentaje de solicitudes que superan los umbrales predefinidos.
• ¿Cómo gestionar los límites sin afectar a los usuarios legítimos?
• Implementar rate limiting progresivo (aumentar las restricciones gradualmente), diferenciar las cuotas por tipo de usuario, proporcionar mensajes de error claros que expliquen los límites y cuándo volver a intentar el acceso.

Cómo apoya ISGroup

ISGroup ofrece servicios de Secure Architecture Review para evaluar infraestructuras complejas basadas en IA e identificar vulnerabilidades relacionadas con el consumo de recursos. El equipo analiza el estado actual de la arquitectura, verifica la presencia de controles adecuados sobre rate limiting, dimensionamiento de entradas y gestión de cuotas, y proporciona recomendaciones concretas para mejorar la resiliencia y contener los costes operativos. Para arquitecturas en la nube, el servicio de Cloud Security Assessment permite verificar la correcta configuración de los límites y las alertas en los principales proveedores.

Artículos relacionados

• AI Data Testing: Seguridad y Validación de Datos en Sistemas de IA
• Runtime Exfiltration en sistemas de IA: Riesgos y Estrategias de Prueba
• Capability Misuse en sistemas de IA: Riesgos y Estrategias de Prueba

La integración de la validación de entradas, el rate limiting y la monitorización proactiva de costes ayuda a proteger los sistemas de IA contra ataques de agotamiento de recursos. Probar regularmente los límites configurados y los umbrales de gasto es fundamental para garantizar la resiliencia y la sostenibilidad económica en producción.