Amazon Bedrock ha abierto una puerta enorme para que las empresas integren modelos de lenguaje avanzados en sus procesos: permite que los modelos no solo respondan preguntas, sino que consulten CRMs, activen funciones serverless y recupere información de repositorios corporativos. Ese mismo puente entre IA y sistemas empresariales es lo que multiplica el riesgo, porque transforma al agente de IA en otro elemento más de la infraestructura con permisos, alcance de red y vectores de ataque propios.
Un equipo de investigación en seguridad de XM Cyber ha desmenuzado este problema y validado varias rutas de ataque que aprovechan precisamente esa conectividad. No se trata de romper la caja de un modelo por fuerza bruta, sino de abusar de las credenciales, configuraciones y permisos que rodean a Bedrock para alcanzar recursos valiosos fuera del propio motor de inferencia. Para quien administra o asegura un entorno en AWS, es una lección clara: proteger los modelos no es suficiente si no se asegura el contexto que los rodea. Puedes consultar la página de Bedrock en AWS para entender mejor sus capacidades: https://aws.amazon.com/bedrock/, y el estudio completo de XM Cyber con diagramas y recomendaciones técnicas está disponible en: Building and Scaling Secure Agentic AI Applications in AWS Bedrock.
Una vía de ataque que llama la atención es la que utiliza los registros de invocación del modelo. Bedrock guarda trazas de cada interacción por motivos de auditoría; esos ficheros pueden contener prompts sensibles o resultados con PII. Si un actor malicioso puede leer el bucket donde se almacenan esos logs o redirigirlos a un destino bajo su control, obtiene un flujo continuo de información. En otro escenario relacionado, quien tenga permisos para eliminar objetos en S3 o borrar streams de logs puede borrar huellas de manipulación o jailbreak, complicando la investigación forense y manteniendo acceso encubierto.
La arquitectura de Knowledge Bases en Bedrock —el patrón conocido como Retrieval Augmented Generation (RAG)— es otra superficie crítica. Aquí conviven las fuentes originales de datos (S3, SharePoint, Salesforce, Confluence) con los índices y stores que hacen consultable ese contenido. Si un atacante logra credenciales para leer directamente la fuente, puede exfiltrar datos sin pasar por el modelo; si roba secretos que Bedrock usa para conectar con servicios SaaS, puede moverse lateralmente hacia sistemas de identidad como Active Directory. La diferencia entre leer datos en crudo y manipular la conexión es la diferencia entre espionaje y una puerta para escalada de privilegios.
Complementando esto, el lugar donde se almacena la información ya procesada —las bases vectoriales o los almacenes estructurados— tiene su propio riesgo. Plataformas de vectores comerciales o servicios administrados pueden contener claves y endpoints en configuraciones que, si se leen mediante APIs de Bedrock (por ejemplo a través de peticiones que recuperen objetos de configuración), permiten al atacante controlar índices enteros o clonar datos. Con bases nativas de AWS como Aurora o Redshift, el robo de credenciales puede dar acceso directo a tablas y a la información relacional completa.
Los agentes de Bedrock son elementos autónomos diseñados para orquestar tareas. Un acceso que permita crear o actualizar agentes puede modificar su instrucción base y las herramientas que usan, provocando usos no deseados: desde la divulgación de instrucciones internas hasta la anexión de ejecutores maliciosos que actúen como “puertas traseras” y realicen cambios en bases de datos o en cuentas de usuario en nombre del flujo legítimo. En este tipo de escenarios, la acción maliciosa se camufla dentro del comportamiento esperado del agente, lo que dificulta la detección.
Existe además un vector más sutil: en vez de tocar el agente, el atacante compromete la infraestructura que el agente invoca. Si un actor puede actualizar el código de una función Lambda o publicar capas con dependencias maliciosas, inyecta comportamiento dañino en las llamadas que el agente hace a herramientas externas. Es una forma eficiente de contaminar una cadena de ejecución sin modificar directamente el agente.
Los flujos (flows) que definen pasos y condiciones para completar tareas también pueden ser manipulados. Cambiando un flujo se puede insertar un nodo que reenvíe datos sensibles a un almacenamiento externo, alterar condiciones que actúan como controles de negocio para permitir solicitudes no autorizadas, o incluso sustituir la clave de cifrado utilizada para estados y snapshots por una controlada por el atacante. De este modo, la lógica de negocio sigue funcionando aparentemente bien mientras la confidencialidad o integridad de la información queda comprometida.
Las guardas o "guardrails" de Bedrock son la primera línea de defensa para evitar que el modelo genere contenido peligroso, que acepte inyecciones de prompt o que exponga datos personales. Si alguien puede bajar umbrales, eliminar reglas o suprimir esos filtros, mucho del control que las organizaciones se creen tener desaparece. La manipulación de guardrails transforma vulnerabilidades lógicas en brechas operativas, porque disminuye la resiliencia frente a entradas maliciosas que anteriormente eran bloqueadas.
Finalmente, la gestión centralizada de plantillas de prompt ofrece un vector de impacto a gran escala. Modificando un template compartido (o su versión activa) se puede insertar instrucciones que cambien el comportamiento del modelo en todas las aplicaciones que lo consumen, sin necesidad de redeploy. Ese tipo de cambio "en caliente" permite exfiltración masiva o la generación coordinada de contenidos nocivos y es difícil de detectar con la supervisión tradicional de aplicaciones.
¿Qué deben hacer los equipos de seguridad? La buena noticia es que las defensas siguen siendo las de siempre aplicadas con disciplina: gobernanza de identidades y accesos lo más estricta posible (principio de menor privilegio), control y monitoreo de logs con integridad garantizada, gestión segura de secretos y claves, segmentación de red y limitación del alcance de agentes y funciones. Es esencial mantener un inventario de cargas de IA y mapear a qué recursos tienen acceso, porque, como muestra el análisis, un solo permiso exagerado puede ser suficiente para desencadenar un ataque encadenado. AWS ofrece guías de buenas prácticas para IAM que son un buen punto de partida: https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html.
La observabilidad es igualmente crítica: asegurar que CloudTrail y los sistemas de registro no puedan ser fácilmente redirigidos o borrados, y cifrar logs sensibles con claves cuyo acceso esté restringido y auditado. Las guías de CloudTrail y de la gestión de claves de AWS ayudan a diseñar estas protecciones: CloudTrail y AWS KMS. Para el riesgo específico de RAG y bases vectoriales conviene revisar controles alrededor de ingestion pipelines, rotación de credenciales, y restricciones de red que limiten la posibilidad de extraer índices completos desde fuera de la VPC o del entorno administrado.
En el nivel de gobernanza de IA es útil mirar marcos de gestión de riesgos y frameworks que ayuden a priorizar controles técnicos y organizativos. El NIST ha publicado orientación sobre gestión de riesgos para IA que puede servir como referencia para políticas y procesos: NIST AI RMF. Implementar revisiones de cambios para guardrails, plantillas de prompt y flujos, y someter modificaciones a procesos de aprobación con trazabilidad reduce la posibilidad de manipulaciones no detectadas.
En resumen, Bedrock y plataformas similares nos obligan a pensar la seguridad de la IA en términos amplios: proteger modelos, sí, pero sobre todo proteger las cuentas, las rutas de integración y las piezas de infraestructura que permiten a un agente tocar el resto de la organización. Si quieres profundizar en pruebas de concepto, diagramas y recomendaciones operativas, el informe completo de XM Cyber contiene ese material técnico y fue contribuido por investigadores del equipo, entre ellos Eli Shparaga: Building and Scaling Secure Agentic AI Applications in AWS Bedrock.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...