El modelado de amenazas (threat modeling) para sistemas de IA generativa y modelos de lenguaje extenso (LLM) identifica de forma sistemática las vulnerabilidades y las modalidades de compromiso de los modelos, analizando no solo los aspectos técnicos, sino también los contextos socioculturales, regulatorios y éticos en los que operan.

Para una visión general de las prácticas de red teaming para sistemas GenAI, consulta la guía completa de GenAI Red Teaming.

Frameworks de referencia para el modelado de amenazas en IA

El NIST AI Risk Management Framework (AI RMF) proporciona una base sólida para definir riesgos, fuentes de amenazas y objetivos de ataque específicos para los sistemas de IA. MITRE ATLAS mapea escenarios reales de ataques adversarios contra modelos de aprendizaje automático, mientras que la OWASP AI Security and Privacy Guide ofrece directrices prácticas para identificar y mitigar las amenazas en los sistemas de IA.

A diferencia de los marcos tradicionales orientados al software, estas herramientas abordan desafíos específicos de la IA como los sesgos algorítmicos, los riesgos QBRN (Químicos, Biológicos, Radiológicos y Nucleares), el CSAM (Material de Abuso Sexual Infantil) y las NCII (Imágenes Íntimas No Consentidas), que requieren enfoques de evaluación dedicados.

Proceso operativo de modelado de amenazas para sistemas de IA

El proceso de modelado de amenazas para sistemas de IA se articula en cuatro fases:

1. Modelado de la arquitectura: mapear los componentes del sistema, los flujos de datos, las interfaces y las dependencias de la cadena de suministro.
2. Identificación de amenazas: listar las amenazas técnicas y contextuales utilizando marcos como MITRE ATLAS y OWASP AI Top 10.
3. Definición de mitigaciones: establecer controles de seguridad proporcionales al riesgo identificado.
4. Validación iterativa: probar y actualizar el modelo en función de nuevas amenazas y cambios arquitectónicos.

Mapeo de amenazas a los componentes arquitectónicos

Cada componente del sistema de IA presenta superficies de ataque específicas. La fase de recopilación de datos puede verse comprometida mediante envenenamiento de datos (data poisoning); el entrenamiento puede sufrir ataques de puerta trasera (backdoor); las API de inferencia están expuestas a inyección de prompts y extracción de modelos. Mapear las amenazas de OWASP a los componentes arquitectónicos permite identificar qué controles aplicar en cada fase del ciclo de vida del modelo, desde la recopilación de datos hasta el despliegue en producción.

Amenazas a la IA Responsable y Confiable (Trustworthy AI)

Además de las vulnerabilidades técnicas, los sistemas de IA deben afrontar riesgos relacionados con la equidad, la rendición de cuentas y la transparencia. Un modelo puede producir resultados discriminatorios incluso sin intenciones maliciosas, o generar contenidos dañinos que violen políticas éticas o normativas. El modelado de amenazas debe, por tanto, incluir escenarios de sesgo sistémico, falta de explicabilidad y potencial uso indebido del modelo, evaluando el impacto en comunidades específicas y contextos regulatorios diversos.

Diferencias respecto al software tradicional

Los modelos de IA se distinguen por la imprevisibilidad de su comportamiento, especialmente en condiciones límite o bajo ataques adversarios. A diferencia del software determinista, un LLM puede producir resultados no previstos incluso con entradas aparentemente inofensivas. El modelado de amenazas debe, por tanto, considerar toda la cadena de suministro: recopilación y almacenamiento de datos, entrenamiento, pruebas, despliegue, monitoreo y actualización continua del modelo.

Escenarios de ataque y mitigaciones operativas

Inyección de prompts (Prompt injection)

Un atacante construye entradas maliciosas para superar las salvaguardas del LLM y ejecutar comandos no previstos. Mitigaciones eficaces: validación rigurosa de las entradas, filtros contextuales, sandboxing de las respuestas y separación entre las instrucciones del sistema y los contenidos del usuario.

Manipulaciones deepfake

El uso de GAN, modelos de difusión y LLM permite crear audio o vídeo ficticios para suplantar a figuras corporativas e inducir transferencias de fondos o la divulgación de datos sensibles. Contramedidas: protocolos de verificación multifactor para comunicaciones críticas, formación del personal en el reconocimiento de deepfakes y sistemas de detección automatizados.

Vulnerabilidades RAG (Retrieval-Augmented Generation)

Un actor malicioso inserta contenidos con enlaces de phishing o malware en fuentes externas que el sistema RAG integra en las respuestas. Si el LLM devuelve estos contenidos sin validación, los usuarios pueden ser inducidos a visitar sitios dañinos. Se requiere la validación de los contenidos recuperados, una moderación atenta y la higienización de los resultados antes de su presentación al usuario.

Generación de código malicioso

El LLM puede sugerir código que contenga puertas traseras o vulnerabilidades intencionales. La verificación continua del código generado, el uso de herramientas de análisis estático y la concienciación sobre las limitaciones del LLM son fundamentales para prevenir la introducción de riesgos en el ciclo de desarrollo.

Componentes y superficies de ataque a analizar

Un modelado de amenazas completo debe cubrir todos los vectores de amenaza relevantes para el sistema de IA:

• Arquitectura del modelo y flujos de datos entre componentes.
• Pipeline de recopilación, almacenamiento, entrenamiento y pruebas de datos.
• Canales de despliegue, API de inferencia y sistemas de monitoreo.
• Interfaces entre modelos, fuentes de datos externas y usuarios finales.
• Cadena de suministro de modelos preentrenados y dependencias de terceros.

Enfoque multinivel y beneficios operativos

Cada aplicación de IA opera con activos, arquitectura y base de usuarios específicos. Integrar el modelado de amenazas con actividades de red teaming técnico y social permite equilibrar la supervisión humana, la mitigación de sesgos y la evaluación de riesgos sistémicos. De este modo, las medidas de seguridad se ajustan mejor a las necesidades reales de la organización y a los contextos de uso previstos.

Un elemento a menudo subestimado es el monitoreo continuo de las amenazas externas: saber qué actores están desarrollando técnicas de ataque contra sistemas de IA, qué vulnerabilidades se discuten en foros clandestinos y qué indicadores de compromiso surgen con el tiempo es parte integrante de una postura defensiva madura. Un servicio estructurado de inteligencia de amenazas y protección contra riesgos digitales permite alimentar el proceso de modelado de amenazas con datos actualizados sobre amenazas reales, haciendo que las mitigaciones sean más precisas y oportunas.

La adopción de un enfoque estructurado para el modelado de amenazas en sistemas de IA permite identificar vulnerabilidades antes del despliegue, reducir la exposición a riesgos regulatorios y reputacionales, y generar confianza en las partes interesadas a través de prácticas de seguridad transparentes y verificables.

• ¿Cuáles son los principales frameworks para el modelado de amenazas en IA?
• Los marcos más utilizados son el NIST AI RMF para la gestión de riesgos, MITRE ATLAS para el mapeo de ataques adversarios y la OWASP AI Security Guide para directrices prácticas de seguridad.
• ¿En qué se diferencia el modelado de amenazas en IA del tradicional?
• El modelado de amenazas en IA debe considerar la imprevisibilidad del comportamiento de los modelos, los riesgos relacionados con sesgos y equidad, y toda la cadena de suministro de datos y modelos preentrenados, además de las vulnerabilidades técnicas clásicas.
• ¿Qué son las amenazas a la IA Responsable?
• Son riesgos relacionados con la equidad, la rendición de cuentas, la transparencia y el uso ético de los modelos de IA, que pueden producir discriminaciones o contenidos dañinos incluso sin intenciones maliciosas por parte de los desarrolladores.
• ¿Cuáles son los ataques más comunes contra los sistemas LLM?
• Los ataques más frecuentes incluyen la inyección de prompts para superar salvaguardas, manipulaciones deepfake para suplantar usuarios, vulnerabilidades RAG que introducen contenidos maliciosos y la generación de código con puertas traseras.
• ¿Cómo se mitigan las vulnerabilidades en los sistemas RAG?
• Las mitigaciones eficaces incluyen la validación rigurosa de los contenidos recuperados de fuentes externas, la moderación de los resultados, la higienización de los enlaces y la verificación de la fiabilidad de las fuentes integradas en el sistema.

Información adicional

Para profundizar en las prácticas de red teaming y las estrategias de mitigación para sistemas de IA generativa, consulta estos artículos:

• GenAI Red Teaming: marco general de las prácticas de red teaming para sistemas de IA generativa.
• Riesgos y amenazas en el GenAI Red Teaming: análisis detallado de los riesgos específicos de los sistemas de IA generativa.
• Estrategia de Red Teaming para LLM: enfoque estratégico y hoja de ruta para el red teaming de modelos de lenguaje extenso.
• Técnicas operativas de GenAI Red Teaming: técnicas prácticas para probar la seguridad de los sistemas de IA.
• Métricas para GenAI Red Teaming: marco de medición para evaluar la eficacia de las actividades de red teaming.
• Red Teaming para IA Agéntica: enfoque específico para sistemas de IA autónomos y agénticos.

[Callforaction-THREAT-Footer]