En las últimas semanas la seguridad alrededor de las plataformas que ejecutan código para agentes de inteligencia artificial ha vuelto a encender las alarmas. Investigadores de ciberseguridad han descrito una técnica capaz de extraer información sensible aprovechando consultas al sistema de nombres de dominio (DNS) desde entornos que, sobre el papel, deberían estar aislados. El informe publicado por BeyondTrust detalla cómo el modo sandbox del Code Interpreter de Amazon Bedrock AgentCore permite resolver DNS hacia el exterior, lo que puede abrir canales de mando y control y vías de exfiltración incluso cuando la configuración indica “sin acceso a red”.
El vector es sorprendentemente simple en su idea: si un entorno sandbox puede emitir consultas DNS hacia dominios controlados por un atacante, esas peticiones pueden convertirse en mensajes bidireccionales. En la práctica, los investigadores consiguieron montar una comunicación interactiva que permite enviar comandos y recibir respuestas usando registros DNS, obtener una shell reversa interactiva y filtrar datos almacenados en servicios de AWS —por ejemplo, en buckets de S3— siempre que el rol IAM asociado al intérprete de código tenga permisos excesivos. Más allá de la extracción, el mecanismo puede servir para entregar cargas que el propio Code Interpreter descargue y ejecute, consultando instrucciones almacenadas en registros A de un servidor DNS malicioso.
El hallazgo se puntúa como un problema serio: aunque a la hora de escribir no tiene identificador CVE, BeyondTrust asignó una severidad que despierta atención. Amazon, por su parte, tras la divulgación responsable en septiembre de 2025, ha definido este comportamiento como funcionalidad intencionada y recomienda migrar cargas críticas a modo VPC para lograr un verdadero aislamiento de red. En su blog y documentación se explica la naturaleza del servicio y las opciones de despliegue; por ejemplo, puede consultarse la introducción oficial al Code Interpreter en el blog de AWS Amazon Bedrock AgentCore Code Interpreter y la guía técnica en la documentación oficial de AWS. Para quienes busquen aislamiento completo, AWS apunta a operar dentro de una VPC y a emplear un cortafuegos DNS para bloquear resoluciones no deseadas; una referencia útil sobre esa protección es el artículo sobre Route 53 Resolver DNS Firewall.
Este incidente ilustra un patrón recurrente: la combinación de ejecución de código dinámico (propia de los agentes IA) y permisos mal calibrados puede multiplicar el daño. Si un servicio que ejecuta código tiene asignado un rol IAM demasiado permisivo, el valor de cada consulta DNS maliciosa aumenta, porque el atacante podría, por ejemplo, pedir al intérprete que lea recursos a los que dicho rol tiene acceso y devolver esa información a través de subdominios. La recomendación práctica inmediata que muchos expertos repiten es revisar y limitar los roles IAM asociados a estos servicios, aplicando el principio de menor privilegio y migrando instancias sensibles a entornos con reglas de red más estrictas.
No está sola esta oleada de advertencias. Paralelamente a la investigación sobre Bedrock, otras plataformas y bibliotecas del ecosistema de IA han mostrado vulnerabilidades de gravedad. La plataforma de observabilidad LangSmith sufrió una falla que permitía a un atacante robar tokens y hacerse con cuentas de usuario mediante manipulación de un parámetro URL; ese problema recibió la designación CVE-2026-25750 y fue subsanado en la versión 0.12.71, según describieron los descubridores en su análisis Miggo Security. El riesgo era que con un token comprometido un atacante puede revisar el historial de trazas de la IA y recuperar llamadas a herramientas que contengan consultas internas, registros de CRM o fragmentos de código privado.
Otro conjunto de vulnerabilidades preocupantes afecta a SGLang, un framework de código abierto para servir modelos de lenguaje y multimodales. Investigadores de Orca describieron fallos de deserialización insegura con pickle que, en escenarios concretos, permiten ejecución remota de código sin autenticación. Los problemas cobran identidad pública en los registros de CVE como CVE-2026-3059, CVE-2026-3060 y CVE-2026-3989, y Orca publicó un análisis técnico que merece leerse con calma aquí. El CERT/CC también emitió una advertencia coordinada señalando que, cuando ciertos módulos están activos y expuestos a la red, un atacante puede enviar archivos pickle maliciosos al broker ZeroMQ y provocar la deserialización de datos no confiables según el aviso.
Las lecciones son claras y aplicables a organizaciones de cualquier tamaño: los entornos de ejecución de agentes y modelos ya forman parte de la columna vertebral de muchas operaciones, por lo que deben tratarse como infraestructura crítica. Migrar cargas sensibles a redes privadas virtuales y reforzar controles DNS reduce la superficie de riesgo, pero no sustituye la necesidad de auditar permisos, revisar configuraciones por defecto y actualizar rápidamente cuando se publica un parche. Asimismo, exponer interfaces de ZeroMQ o similar a redes no confiables es una invitación al riesgo; esas puertas deben cerrarse mediante segmentación y reglas que limiten el acceso a hosts y puertos concretos.
Desde una perspectiva operativa, conviene implementar monitorización dedicada: alertas por procesos que abran conexiones salientes inusuales, por creación de ficheros en rutas extrañas o por tráfico DNS hacia dominios no habituales. En el caso de LangSmith la acción inmediata fue actualizar a una versión corregida; en el caso de SGLang, además de parches, la mitigación pasa por restringir el alcance de los brokers y aplicar controles de red. Amazon, por su parte, ha recomendado expresamente que los clientes con cargas críticas dejen el modo sandbox y se muevan a VPC para conseguir aislamiento, y empleen soluciones de filtrado DNS como la mencionada por AWS.
Por último, este episodio recuerda que la innovación en IA trae retos nuevos para la seguridad: ejecución dinámica, integración con servicios en la nube y flexibilidad para desarrolladores conviven con vectores que los atacantes pueden encadenar. La respuesta no es renunciar a estas herramientas, sino gestionarlas con políticas de seguridad robustas, revisiones de permisos regulares y un ciclo de parcheo y auditoría tan ágil como el desarrollo que alimenta estas plataformas. Mantenerse informado a través de los análisis de firmas de la industria y los avisos oficiales —como los enlazados en este artículo— es una parte esencial de esa defensa.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...