Un estudio de DeepMind destaca seis vulnerabilidades principales de los agentes IA
Investigadores de Google DeepMind publicaron el 1 de abril de 2026 la primera taxonomía completa de ataques contra agentes IA autónomos. Titulado « AI Agent Traps », el documento identifica seis categorías de trampas. Y varias de ellas están directamente relacionadas con los mercados cripto y financieros.
En breve
- Google DeepMind: 6 categorías de trampas contra agentes IA autónomos
- Inyecciones de contenido HTML invisibles: 86% de tasa de éxito en agentes IA probados
- Exfiltración de datos: 10 intentos de 10 exitosos incluyendo contraseñas y números de tarjeta bancaria
- Trampas sistémicas: un informe falso puede desencadenar ventas sincronizadas en miles de agentes de trading IA
- OpenAI admite (dic. 2025): la inyección de prompt probablemente nunca se resolverá completamente
- Vacío legal: ninguna ley define la responsabilidad de un agente IA comprometido que ejecuta un delito financiero
¿Por qué los agentes IA se han convertido en un objetivo privilegiado para los hackers?
Un agente IA autónomo no solo responde preguntas. Esta herramienta de inteligencia artificial navega por la web, lee documentos, ejecuta transacciones y envía correos electrónicos. Es esta autonomía la que crea una superficie de ataque inédita.
La primera trampa documentada se refiere a las inyecciones de contenido. Explota un ángulo muerto sencillo. Lo que un humano ve en una página web y lo que un agente IA analiza son en efecto dos cosas diferentes. Instrucciones maliciosas pueden ocultarse en comentarios HTML, etiquetas CSS invisibles o metadatos de una imagen. El agente las lee. El humano, nunca. Resultado: en los escenarios probados, estos ataques atraparon a los agentes IA en el 86 % de los casos.
La segunda categoría apunta al razonamiento del modelo. Según el estudio, un contenido formulado de manera autoritaria basta para sesgar las conclusiones de una IA (exactamente como los sesgos cognitivos humanos). Más inquietante: los mismos mecanismos permiten envolver instrucciones maliciosas en un marco pedagógico o de red-teaming. La IA interpreta entonces la solicitud peligrosa como inofensiva.
La tercera trampa se refiere a la memoria a largo plazo. Cuando un agente IA utiliza una base RAG (retrieval-augmented generation), consulta documentos externos para complementar sus respuestas. Envenenar algunos documentos en esa base es suficiente para corromper sus salidas de manera fiable y repetida.
En X, el coautor Franklin Matija precisa:
Estos ataques no son teóricos. Cada tipo de trampa tiene pruebas de concepto documentadas.
¿Cuáles son las consecuencias concretas para el mercado cripto y la finanza IA?
La cuarta trampa es la más directa. Los ataques comportamentales toman el control de lo que el agente hace. Por ejemplo, un simple correo electrónico manipulado fue suficiente para filtrar todo el contexto privilegiado de Microsoft M365 Copilot en un caso documentado.
Investigadores de Columbia y Maryland obligaron a agentes IA a transmitir contraseñas y datos bancarios a un atacante. Resultado: 10 intentos de 10 exitosos. Los investigadores calificaron estos ataques como «tendientes a ser triviales de implementar», sin ninguna experiencia en aprendizaje automático.
La quinta trampa es la que debería alertar a los inversores cripto. Las trampas sistémicas no apuntan a un agente IA, sino a miles simultáneamente. El documento de DeepMind traza una analogía directa con el Flash Crash de 2010. En 45 minutos, un algoritmo de venta automática borró cerca de 1 000 billones de dólares en capitalización bursátil.
¿La versión IA de este escenario? Un informe financiero falso difundido en el momento correcto podría desencadenar órdenes de venta sincronizadas en miles de agentes de trading IA.
La sexta trampa, por su parte, vuelve la IA contra su propio supervisor humano. Generando resúmenes truncados o análisis engañosos, el agente comprometido explota la fatiga de aprobación. El humano termina validando sin realmente leer. El documento cita un caso donde se presentaron instrucciones para instalar ransomware como pasos de solución de problemas.
El estudio de DeepMind señala finalmente un vacío legal importante: si un agente IA comprometido ejecuta una transacción ilícita en un mercado cripto, ninguna ley actual determina claramente quién es responsable (el operador, el proveedor del modelo o el sitio que alojó la trampa). OpenAI además admitió en diciembre de 2025 que la inyección de prompt probablemente nunca será totalmente resuelta.
Ciertamente, la IA autónoma está transformando las finanzas y el universo cripto. Pero el estudio de DeepMind recuerda una realidad: ningún sistema autónomo es inmune. Antes de delegar una transacción a un agente IA, la cuestión de su seguridad debería primar sobre la de su rendimiento.
¡Maximiza tu experiencia en Cointribune con nuestro programa "Read to Earn"! Por cada artículo que leas, gana puntos y accede a recompensas exclusivas. Regístrate ahora y comienza a acumular beneficios.
Me llamo Ariela y tengo 31 años. Trabajo en el campo de la redacción web desde hace 7 años. Descubrí el trading y las criptomonedas hace solo unos años, pero es un universo que me interesa mucho. Los temas tratados en la plataforma me permiten aprender más. Cantante en mi tiempo libre, también cultivo una gran pasión por la música, la lectura (¡y los animales!)
Las ideas y opiniones expresadas en este artículo pertenecen al autor y no deben tomarse como consejo de inversión. Haz tu propia investigación antes de tomar cualquier decisión de inversión.