Cómo los ataques en tiempo de ejecución convierten la IA rentable en agujeros negros presupuestarios

Este artículo forma parte del número especial de VentureBeat, «El coste real de la IA: rendimiento, eficiencia y retorno de la inversión a gran escala». Lea más en este número especial.

La promesa de la IA es innegable, pero también lo es su invisibilidad de los costos de seguridad en la capa de inferencia. Los nuevos ataques dirigidos al lado operativo de la IA están inflando silenciosamente los presupuestos, poniendo en peligro el cumplimiento normativo y erosionando la confianza de los clientes, todo lo cual amenaza el retorno de la inversión (ROI) y el costo total de propiedad de las implementaciones de IA empresarial.

La IA ha cautivado a las empresas con su potencial para obtener información innovadora y aumentar la eficiencia. Sin embargo, a medida que las organizaciones se apresuran a operacionalizar sus modelos, surge una realidad preocupante: la etapa de inferencia, donde la IA traduce la inversión en valor comercial en tiempo real, se encuentra en una situación crítica. Esta coyuntura crítica está incrementando el costo total de propiedad (TCO) de maneras que los análisis de negocio iniciales no pudieron predecir.

Los ejecutivos de seguridad y los directores financieros que dieron luz verde a proyectos de IA por su potencial transformador ahora se enfrentan a los gastos ocultos de la defensa de estos sistemas. Los adversarios han descubierto que la inferencia es donde la IA cobra vida para una empresa, y es precisamente donde pueden causar el mayor daño. El resultado es una cascada de inflación de costos: la contención de brechas puede superar los 5 millones de dólares por incidente en sectores regulados, las actualizaciones de cumplimiento ascienden a cientos de miles y las fallas de confianza pueden provocar caídas en las acciones o cancelaciones de contratos que diezman el retorno de la inversión proyectado en IA. Sin contención de costos en la inferencia, la IA se convierte en un factor impredecible e incontrolable para el presupuesto.

La inferencia de IA se está convirtiendo rápidamente en el “próximo riesgo interno”, dijo Cristian Rodríguez, director de tecnología de campo para las Américas en CrowdStrike , a la audiencia en RSAC 2025 .

Otros líderes tecnológicos comparten esta perspectiva y observan un punto débil común en la estrategia empresarial. Vineet Arora, director de tecnología de WinWire , señala que muchas organizaciones «se centran intensamente en proteger la infraestructura en torno a la IA, mientras que, sin darse cuenta, dejan de lado la inferencia». Esta omisión, explica, «conduce a subestimar los costos de los sistemas de monitorización continua, el análisis de amenazas en tiempo real y los mecanismos de parcheo rápido».

Otro punto ciego crítico, según Steffen Schreier, vicepresidente sénior de productos y cartera de Telesign , es "la suposición de que los modelos de terceros están completamente examinados y son inherentemente seguros de implementar".

Advirtió que, en realidad, "estos modelos a menudo no se han evaluado en función del panorama de amenazas específico de una organización ni de sus necesidades de cumplimiento", lo que puede generar resultados dañinos o incompatibles que minan la confianza en la marca. Schreier declaró a VentureBeat que "las vulnerabilidades en tiempo de inferencia, como la inyección de avisos, la manipulación de resultados o la fuga de contexto, pueden ser explotadas por atacantes para generar resultados dañinos, sesgados o incompatibles. Esto plantea graves riesgos, especialmente en sectores regulados, y puede minar rápidamente la confianza en la marca".

Cuando la inferencia se ve comprometida, las consecuencias afectan a múltiples frentes del TCO. Los presupuestos de ciberseguridad se disparan, el cumplimiento normativo se ve comprometido y la confianza del cliente se erosiona. La percepción de los ejecutivos refleja esta creciente preocupación. En la encuesta "Estado de la IA en Ciberseguridad" de CrowdStrike, solo el 39 % de los encuestados consideró que las recompensas de la IA generativa superan claramente los riesgos, mientras que el 40 % los consideró comparables. Esta ambivalencia subraya un hallazgo crucial: los controles de seguridad y privacidad se han convertido en requisitos prioritarios para las iniciativas de IA de nueva generación, con un sorprendente 90 % de las organizaciones que ahora implementan o desarrollan políticas para regular la adopción de la IA. Las principales preocupaciones ya no son abstractas; el 26 % cita la exposición de datos confidenciales y el 25 % teme los ataques adversarios como riesgos clave.

Los líderes de seguridad muestran sentimientos encontrados con respecto a la seguridad general de la IA general, y las principales preocupaciones se centran en la exposición de datos confidenciales a los LLM (26 %) y los ataques adversarios a las herramientas de IA (25 %).

La singular superficie de ataque expuesta al ejecutar modelos de IA está siendo explorada agresivamente por adversarios. Para defenderse, Schreier aconseja: «Es fundamental tratar cada entrada como un posible ataque hostil». Marcos como el Top 10 de OWASP para Aplicaciones de Modelos de Lenguaje Grandes (LLM) catalogan estas amenazas, que ya no son vectores de ataque teóricos, sino activos que impactan a la empresa:

1. Inyección de avisos (LLM01) y manejo inseguro de salidas (LLM02): Los atacantes manipulan los modelos mediante entradas o salidas. Las entradas maliciosas pueden provocar que el modelo ignore instrucciones o divulgue código propietario. El manejo inseguro de salidas ocurre cuando una aplicación confía ciegamente en las respuestas de la IA, lo que permite a los atacantes inyectar scripts maliciosos en sistemas posteriores.
2. Envenenamiento de datos de entrenamiento (LLM03) y envenenamiento de modelos: Los atacantes corrompen los datos de entrenamiento introduciendo muestras contaminadas e implantando activadores ocultos. Posteriormente, una entrada inocua puede generar salidas maliciosas.
3. Denegación de servicio del modelo (LLM04): los adversarios pueden saturar los modelos de IA con entradas complejas, consumiendo recursos excesivos para ralentizarlos o bloquearlos, lo que resulta en una pérdida directa de ingresos.
4. Vulnerabilidades en la cadena de suministro y complementos (LLM05 y LLM07): El ecosistema de IA se basa en componentes compartidos. Por ejemplo, una vulnerabilidad en la herramienta Flowise LLM expuso paneles de IA privados y datos confidenciales, incluyendo tokens de GitHub y claves API de OpenAI, en 438 servidores.
5. Divulgación de información confidencial (LLM06): una consulta inteligente puede extraer información confidencial de un modelo de IA si fue parte de sus datos de entrenamiento o está presente en el contexto actual.
6. Agencia excesiva (LLM08) y confianza excesiva (LLM09): otorgar a un agente de IA permisos sin control para ejecutar operaciones o modificar bases de datos es una receta para el desastre si se manipula.
7. Robo de modelos (LLM10): Los modelos propietarios de una organización pueden ser robados a través de sofisticadas técnicas de extracción, lo que supone un ataque directo a su ventaja competitiva.

Estas amenazas se sustentan en fallos de seguridad fundamentales. Los atacantes suelen iniciar sesión con credenciales filtradas. A principios de 2024, el 35 % de las intrusiones en la nube implicaban credenciales de usuario válidas, y los nuevos intentos de ataques en la nube sin atribución aumentaron un 26 %, según el Informe Global de Amenazas CrowdStrike 2025. Una campaña de deepfake resultó en una transferencia fraudulenta de 25,6 millones de dólares , mientras que los correos electrónicos de phishing generados por IA han demostrado una tasa de clics del 54 %, más de cuatro veces superior a la de los correos electrónicos escritos por humanos.

El marco OWASP ilustra cómo varios vectores de ataque LLM apuntan a diferentes componentes de una aplicación de IA, desde la inyección rápida en la interfaz de usuario hasta el envenenamiento de datos en los modelos de entrenamiento y la divulgación de información confidencial del almacén de datos.

Proteger la IA requiere un retorno disciplinado a los fundamentos de seguridad , pero aplicados desde una perspectiva moderna. "Creo que debemos dar un paso atrás y asegurar que las bases y los fundamentos de la seguridad sigan vigentes", argumentó Rodríguez. "El mismo enfoque que se aplicaría para proteger un sistema operativo es el mismo que se aplicaría para proteger ese modelo de IA".

Esto implica implementar una protección unificada en cada ruta de ataque, con una rigurosa gobernanza de datos, una sólida gestión de la postura de seguridad en la nube (CSPM) y una seguridad que prioriza la identidad mediante la gestión de derechos de infraestructura en la nube (CIEM) para proteger los entornos de nube donde residen la mayoría de las cargas de trabajo de IA. A medida que la identidad se convierte en el nuevo perímetro, los sistemas de IA deben gobernarse con los mismos controles de acceso estrictos y protecciones de tiempo de ejecución que cualquier otro activo crítico para el negocio en la nube.

La IA en la sombra , o el uso no autorizado de herramientas de IA por parte de los empleados, crea una superficie de ataque masiva y desconocida. Un analista financiero que utilice un LLM en línea gratuito para documentos confidenciales puede filtrar inadvertidamente datos confidenciales. Como advirtió Rodríguez, las consultas a modelos públicos pueden convertirse en las respuestas de otros. Abordar esto requiere una combinación de políticas claras, formación de los empleados y controles técnicos como la gestión de la postura de seguridad de la IA (AI-SPM) para descubrir y evaluar todos los activos de IA, autorizados o no.

Aunque los adversarios han utilizado la IA como arma, la situación está cambiando. Como observa Mike Riemer, CISO de campo de Ivanti , los defensores están empezando a aprovechar todo el potencial de la IA con fines de ciberseguridad para analizar grandes cantidades de datos recopilados de diversos sistemas. Esta postura proactiva es esencial para construir una defensa robusta, que requiere varias estrategias clave:

Presupuesto para la seguridad de inferencia desde cero: Según Arora, el primer paso es comenzar con una evaluación integral basada en riesgos. Recomienda mapear todo el proceso de inferencia para identificar cada flujo de datos y vulnerabilidad. «Al vincular estos riesgos con los posibles impactos financieros», explica, «podemos cuantificar mejor el coste de una brecha de seguridad» y elaborar un presupuesto realista.

Para estructurar esto de forma más sistemática, los CISO y los CFO deberían empezar con un modelo de ROI ajustado al riesgo. Un enfoque:

ROI de seguridad = (costo estimado de la violación × probabilidad de riesgo anual) – inversión total en seguridad

Por ejemplo, si un ataque de inferencia LLM pudiera resultar en una pérdida de $5 millones y la probabilidad es del 10%, la pérdida esperada sería de $500,000. Una inversión de $350,000 en defensas en la etapa de inferencia generaría una ganancia neta de $150,000 en riesgo evitado. Este modelo permite la presupuestación basada en escenarios, directamente vinculada a los resultados financieros.

Las empresas que destinan menos del 8 al 12 % de su presupuesto para proyectos de IA a la seguridad en la fase de inferencia suelen verse afectadas posteriormente por los costes de recuperación de brechas y cumplimiento normativo . Un director de TI de un proveedor de servicios de salud de la lista Fortune 500, entrevistado por VentureBeat y que solicitó el anonimato, ahora asigna el 15 % de su presupuesto total de IA general a la gestión de riesgos posterior al entrenamiento, incluyendo la monitorización del tiempo de ejecución, las plataformas AI-SPM y las auditorías de cumplimiento normativo. Un modelo presupuestario práctico debería asignar los costes en cuatro centros de costes: monitorización del tiempo de ejecución (35 %), simulación adversarial (25 %), herramientas de cumplimiento normativo (20 %) y análisis del comportamiento del usuario (20 %).

A continuación, se muestra una instantánea de asignación de muestra para una implementación de IA empresarial de $2 millones basada en las entrevistas en curso de VentureBeat con directores financieros, directores de informática y directores de seguridad de la información que presupuestan activamente para respaldar proyectos de IA:

Estas inversiones reducen los costos de remediación de infracciones posteriores, las sanciones regulatorias y las violaciones de SLA, todo lo cual ayuda a estabilizar el TCO de IA.

Implemente la monitorización y validación en tiempo de ejecución: Comience por ajustar la detección de anomalías para detectar comportamientos en la capa de inferencia, como patrones anormales de llamadas a la API, cambios en la entropía de salida o picos de frecuencia de consultas. Proveedores como DataDome y Telesign ahora ofrecen análisis de comportamiento en tiempo real adaptados a las señales de uso indebido de la IA.

Los equipos deben monitorear los cambios de entropía en las salidas, rastrear irregularidades de tokens en las respuestas del modelo y detectar frecuencias atípicas en las consultas de cuentas privilegiadas. Las configuraciones eficaces incluyen la transmisión de registros a herramientas SIEM (como Splunk o Datadog) con analizadores de IA genéricas personalizados y el establecimiento de umbrales de alerta en tiempo real para las desviaciones de las líneas base del modelo.

Adoptar un marco de confianza cero para la IA: La confianza cero es innegociable en entornos de IA. Se basa en el principio de "nunca confiar, siempre verificar". Al adoptar esta arquitectura, señala Riemer, las organizaciones pueden garantizar que "solo los usuarios y dispositivos autenticados accedan a datos y aplicaciones confidenciales, independientemente de su ubicación física".

La confianza cero en el momento de la inferencia debe aplicarse en múltiples capas:

• Identidad : autenticar tanto a los actores humanos como a los de servicio que acceden a los puntos finales de inferencia.
• Permisos : Acceso a LLM mediante control de acceso basado en roles (RBAC) con privilegios limitados en el tiempo.
• Segmentación : aísle los microservicios de inferencia con políticas de malla de servicios y aplique valores predeterminados de privilegios mínimos a través de plataformas de protección de carga de trabajo en la nube (CWPP).

Una estrategia de seguridad de IA proactiva requiere un enfoque holístico, que abarque la visibilidad y la seguridad de la cadena de suministro durante el desarrollo, la protección de la infraestructura y los datos y la implementación de medidas de seguridad sólidas para proteger los sistemas de IA en tiempo de ejecución durante la producción.

Proteger el ROI de la IA empresarial requiere modelar activamente el beneficio financiero de la seguridad. Comience con una proyección de ROI base y luego incorpore escenarios de reducción de costos para cada control de seguridad. Al relacionar las inversiones en ciberseguridad con los costos evitados, incluyendo la remediación de incidentes, los incumplimientos de los SLA y la pérdida de clientes, la reducción de riesgos se traduce en un aumento medible del ROI.

Las empresas deberían modelar tres escenarios de ROI que incluyan un punto de referencia, inversión en seguridad y recuperación tras una brecha de seguridad para demostrar claramente la reducción de costos. Por ejemplo, una empresa de telecomunicaciones que implementó la validación de resultados evitó más de 12 000 consultas mal enrutadas al mes, lo que ahorró 6,3 millones de dólares anuales en penalizaciones por SLA y volumen de llamadas al centro de llamadas. Vincule las inversiones con los costos evitados en la remediación de brechas de seguridad, el incumplimiento del SLA, el impacto en la marca y la pérdida de clientes para presentar un argumento de ROI defendible ante los directores financieros.

Los directores financieros deben comunicar con claridad cómo el gasto en seguridad protege los resultados. Para proteger el retorno de la inversión (ROI) de la IA en la capa de inferencia, las inversiones en seguridad deben modelarse como cualquier otra asignación estratégica de capital: con vínculos directos al coste total de propiedad (TCO), la mitigación de riesgos y la preservación de los ingresos.

Utilice esta lista de verificación para hacer que las inversiones en seguridad de IA sean defendibles en la sala de juntas y viables en el ciclo presupuestario.

1. Vincule cada gasto de seguridad de IA a una categoría de reducción de TCO proyectada (cumplimiento, remediación de infracciones, estabilidad del SLA).
2. Ejecute simulaciones de prevención de costos con escenarios con un horizonte de tres años: línea base, protegido y reactivo ante brechas.
3. Cuantifique el riesgo financiero derivado de violaciones de SLA, multas regulatorias, erosión de la confianza en la marca y pérdida de clientes.
4. Co-modele los presupuestos de seguridad de la capa de inferencia con los CISO y los CFO para romper los silos organizacionales.
5. Presentar las inversiones en seguridad como facilitadores del crecimiento, no como gastos generales, mostrando cómo estabilizan la infraestructura de IA para la captura sostenida de valor.

Este modelo no sólo defiende las inversiones en IA; defiende los presupuestos y las marcas, y puede proteger y aumentar la credibilidad de las salas de juntas.

Los CISO deben presentar la gestión de riesgos de la IA como un factor facilitador del negocio, cuantificado en términos de protección del ROI, preservación de la confianza de marca y estabilidad regulatoria. A medida que la inferencia de la IA se integra más a fondo en los flujos de trabajo de ingresos, protegerla no es un centro de costos, sino el plano de control para la sostenibilidad financiera de la IA. Las inversiones estratégicas en seguridad en la capa de infraestructura deben justificarse con métricas financieras que los CFO puedan aplicar.

El camino a seguir requiere que las organizaciones equilibren la inversión en innovación en IA con una inversión equivalente en su protección. Esto requiere un nuevo nivel de alineación estratégica. Como declaró Robert Grazioli, CIO de Ivanti, a VentureBeat: «La alineación de CISO y CIO será crucial para proteger eficazmente a las empresas modernas». Esta colaboración es esencial para eliminar los silos de datos y presupuesto que socavan la seguridad, permitiendo a las organizaciones gestionar el coste real de la IA y convertir una apuesta arriesgada en un motor de crecimiento sostenible y de alto retorno de la inversión.

Schreier de Telesign añadió: «Consideramos los riesgos de inferencia de IA desde la perspectiva de la identidad digital y la confianza. Integramos la seguridad en todo el ciclo de vida de nuestras herramientas de IA, utilizando controles de acceso, monitorización de uso, limitación de velocidad y análisis de comportamiento para detectar el uso indebido y proteger tanto a nuestros clientes como a sus usuarios finales de las amenazas emergentes».

Continuó: “Abordamos la validación de resultados como una capa crítica de nuestra arquitectura de seguridad de IA, en particular porque muchos riesgos en el momento de la inferencia no surgen de cómo se entrena un modelo, sino de cómo se comporta en la práctica”.