Microsoft ha presentado una herramienta ligera destinada a identificar puertas traseras ocultas en modelos de lenguaje de código abierto, una preocupación creciente en el mundo de la inteligencia artificial. En términos sencillos, una puerta trasera en un modelo es un comportamiento malicioso incrustado en los parámetros durante el entrenamiento que permanece inactivo hasta que aparece cierto estímulo —el llamado disparador— y entonces hace que el modelo actúe de forma inesperada o dañina.
La propuesta, descrita por el equipo de seguridad de IA de la compañía y disponible en un documento público, combina señales observables del comportamiento interno de los modelos para señalar cuándo puede haber ese tipo de manipulación. La gracia del enfoque es que no requiere volver a entrenar el modelo ni conocer de antemano cuál es la puerta trasera, lo que la convierte en una opción práctica para revisar grandes cantidades de modelos estilo GPT siempre que se tenga acceso a sus pesos.
Para entender por qué esto importa conviene recordar dos hechos que han demostrado investigadores anteriores: los grandes modelos de lenguaje pueden memorizar fragmentos de los datos en los que fueron entrenados, y esa memoritzación facilita que ejemplos específicos (incluyendo disparadores) puedan ser recuperados mediante técnicas de extracción de memoria. Microsoft parte de esa observación y añade que, cuando un disparador aparece en la entrada, ciertos indicadores internos del modelo cambian de forma reproducible.
Entre esos indicadores figuran patrones distintivos en las cabezas de atención —un mecanismo clave que decide qué partes del texto deben ponderarse más— donde el modelo llega a concentrarse de manera casi exclusiva en el disparador, generando una estructura reconocible en las matrices de atención. Si quiere profundizar en qué es la atención y cómo funciona, hay recursos divulgativos y técnicos, por ejemplo en esta entrada de Wikipedia. Además, los investigadores observan cambios en la distribución de salidas del modelo: la presencia del disparador reduce la «aleatoriedad» de las respuestas, produciendo salidas mucho más deterministas de lo habitual.
La herramienta combina la extracción de contenidos memorizados con un análisis que detecta subcadenas relevantes y las evalúa mediante funciones de pérdida diseñadas para capturar esas tres señales empíricas. El resultado es una lista ordenada de candidatos a disparadores que merece una inspección humana adicional. En la práctica, el escáner primero extrae material que el modelo ha memorizado; luego busca fragmentos que podrían actuar como gatillos; y finalmente puntúa y ordena esos fragmentos según las firmas detectadas.
Es importante subrayar que no estamos ante una panacea. El sistema necesita acceso a los archivos del modelo, por lo que no sirve para modelos propietarios cerrados a los que no se puede examinar internamente. Funciona mejor con puertas traseras activadas por disparadores textuales que producen respuestas deterministas; ataques más sofisticados o basados en modificaciones de código, plugins o datos externos pueden eludirlo. Microsoft reconoce esas limitaciones y describe la propuesta como un avance práctico que puede integrarse en procesos de evaluación más amplios.
La iniciativa llega en un momento en el que empresas y equipos de seguridad buscan adaptar prácticas de desarrollo seguro a sistemas impulsados por IA. Microsoft ha anunciado que ampliará su ciclo de vida de desarrollo seguro (SDL) para incluir riesgos específicos de la IA —desde inyecciones de prompt hasta envenenamiento de datos— y reclama una visión más amplia del perímetro de confianza porque los sistemas basados en modelos introducen nuevos vectores de entrada y de riesgo. Puede consultarse la explicación oficial en el blog de seguridad de Microsoft aquí.
La detección de puertas traseras en modelos no es un tema nuevo; la literatura sobre ataques de envenenamiento y puertas traseras en redes neuronales lleva años en desarrollo —por ejemplo, trabajos como BadNets y estudios sobre extracción de datos memorizados como el de Carlini et al. (Extracting Training Data from Large Language Models) han sentado las bases para estas líneas de investigación. Lo que aporta el equipo de Microsoft es un enfoque operativo pensado para escanear modelos «a escala» y con bajos índices de falsos positivos, aprovechando señales internas que resultan reproducibles en modelos de la familia GPT.
En términos prácticos, esto significa que organizaciones que distribuyen modelos de código abierto, integradores o auditorías de seguridad pueden incorporar herramientas como esta para reducir el riesgo de que un modelo desplegado contenga un comportamiento oculto. Aun así, la comunidad de seguridad coincide en que la defensa completa requerirá una combinación de análisis estático y dinámico, controles de la cadena de suministro de modelos, buenas prácticas en los conjuntos de datos de entrenamiento y colaboración abierta entre empresas, academia y reguladores.
En definitiva, el trabajo de Microsoft es una señal de que la seguridad en IA está madurando: las soluciones empiezan a ser más prácticas y orientadas a despliegues reales, pero seguirán siendo necesarias más investigaciones, estándares y cooperación para mitigar los riesgos sistémicos. Si quiere leer el informe técnico original que describe el diseño y las pruebas del escáner, está disponible en el repositorio de preprints (arXiv), y la entrada del propio equipo de Microsoft explica el enfoque desde la perspectiva operativa en su blog de seguridad aquí.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...