En las últimas semanas la seguridad de los modelos de lenguaje a gran escala (LLM) ha dejado de ser una preocupación teórica para convertirse en un blanco real y lucrativo para el crimen organizado. Investigadores que desplegaron honeypots diseñados para simular servicios de IA han observado un volumen masivo de intentos de acceso no autorizados, lo que ha permitido destapar una operación criminal que comercializa el acceso a infraestructuras de IA mal configuradas.
El equipo de Pillar Security documentó más de 35.000 sesiones de ataque en solo 40 días, un ritmo que subraya la rapidez con la que los atacantes detectan y aprovechan puntos expuestos. Estos hallazgos, relatados en el informe de Pillar Security, describen una campaña bautizada como Bizarre Bazaar, que los analistas consideran uno de los primeros ejemplos atribuidos a un actor concreto de lo que ya se denomina “LLMjacking”: la toma y monetización de endpoints de LLM poco protegidos. Puedes leer el informe técnico de Pillar Security en su página oficial: Pillar Security — Operation Bizarre Bazaar.
El propósito de estos accesos no es únicamente provocar costes por inferencias; el negocio criminal es múltiple. Entre las motivaciones detectadas figuran el uso de capacidad computacional robada para minería de criptomonedas, la reventa de accesos a APIs de IA en mercados fuertemente opacos, el robo de datos contenidos en prompts y historiales de conversación, y el intento de moverse lateralmente dentro de infraestructuras corporativas a través de servidores del denominado Model Context Protocol (MCP). La combinación de gasto operativo alto, información sensible y vectores de movimiento lateral convierte a los endpoints de LLM en un blanco muy rentable, tal y como señalan los investigadores.
La técnica habitual de los atacantes comienza con un escaneo a gran escala en Internet para localizar servicios expuestos: instancias autoalojadas de modelos, APIs compatibles con OpenAI que quedan abiertas en puertos comunes, servidores MCP accesibles públicamente y entornos de desarrollo o staging con IP pública. Los malos configurados que detectaron incluyen endpoints sin autenticación en soluciones como Ollama y APIs OpenAI compatibles expuestas en puertos típicos; estos errores suelen ser visibles en pocos minutos u horas tras aparecer en buscadores de servicios en Internet como Shodan o Censys, lo que facilita la rápida explotación.
No se trata solo de atacantes oportunistas: Pillar describe una cadena criminal organizada con roles diferenciados. Unos bots realizan la exploración inicial, otros validan y prueban los accesos, y un tercero gestiona la comercialización de esos accesos a través de un servicio que opera públicamente en canales de mensajería de difícil rastreo. Ese servicio promociona una plataforma que promete acceso unificado a decenas de modelos, una propuesta atractiva para compradores con poca escrúpulos que prefieren pagar con criptomonedas o métodos alternativos. Los investigadores han asociado la operación con alias específicos que usan los presuntos operadores.
Paralelamente, se han observado campañas centradas exclusivamente en el reconocimiento de endpoints MCP, una táctica preocupante porque esos servidores pueden ofrecer la puerta para acciones de mayor impacto: interacción con clústeres Kubernetes, acceso a servicios cloud y ejecución de comandos en sistemas comprometidos. En muchos escenarios este tipo de acceso permite a los atacantes escalar privilegios y moverse lateralmente, con consecuencias que van mucho más allá del coste por inferencia.
La investigación de Pillar no surge en el vacío: otros equipos han detectado actividad similar. A principios de mes, GreyNoise publicó análisis que muestran escaneos masivos dirigidos a servicios comerciales de LLM con el objetivo de enumerar endpoints disponibles, una señal más de que la visibilidad pública de infraestructuras de IA se ha convertido en una fuente explotable. Puedes revisar los análisis generales de GreyNoise en su blog: GreyNoise — Blog. Además, medios especializados como BleepingComputer han recogido las conclusiones de Pillar y han intentado contactar con los servicios mencionados para obtener sus explicaciones.
¿Qué pueden hacer las organizaciones para protegerse? Ante todo, tratar los endpoints de LLM como recursos sensibles y costosos. Es imprescindible asegurar que cualquier servicio de inferencia expuesto requiera autenticación robusta, que las APIs estén detrás de puertas de enlace que limiten el uso y la tasa de peticiones, y que las instancias de desarrollo o staging no queden accesibles desde Internet en modo abierto. También conviene aplicar segmentación de red, reglas de firewall que restrinjan el acceso por IP, rotación y protección de claves, y registro exhaustivo de telemetría para detectar picos de uso inusuales que puedan indicar abuso. La monitorización temprana y la respuesta automatizada a patrones anómalos pueden significar la diferencia entre un incidente menor y una intrusión con impacto amplio.
Igualmente importante es revisar la política de retención y acceso a prompts y conversaciones. Muchos equipos almacenan historiales o ejemplos de interacción que pueden contener datos sensibles; en caso de filtración, esa información puede facilitar fraudes, ingeniería social o filtración de propiedad intelectual. Limitar lo que se guarda, anonimizar datos cuando sea posible y auditar quién y cómo accede a esos registros son medidas que reducen el riesgo.
La lección es clara: la adopción acelerada de IA empresarial ha creado nuevas superficies de ataque que requieren madurez operativa. Los proveedores de modelos, las plataformas de orquestación y los equipos internos deben colaborar para imponer controles mínimos y compartir indicadores de compromiso. Mientras tanto, los escaneos masivos y los mercados que revenden accesos seguirán operando; hasta que la seguridad y la gobernanza no se incorporen al diseño de las infraestructuras de IA, campañas como Bizarre Bazaar encontrarán nuevas víctimas.
Para profundizar en las fuentes originales y en recomendaciones de seguridad, vale la pena leer el informe de Pillar Security y consultar recursos sobre seguridad de API y prácticas de despliegue seguro de modelos: informe de Pillar Security, la cobertura de noticias en BleepingComputer, y documentación general sobre exposición de servicios en Internet consultable en Shodan y Censys. Si gestionas o desarrollas servicios de IA, es momento de auditar accesos y asumir que cualquier endpoint descubierto públicamente puede ser atacado en cuestión de horas.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...