La inteligencia artificial se ha convertido en parte de la vida cotidiana. Según IDC, se prevé que el gasto mundial en sistemas de IA supere los 300 000 millones de dólares en 2026, lo que demuestra la rapidez con la que se está acelerando su adopción. La IA ya no es una tecnología de nicho: está transformando la forma de actuar de las empresas, los gobiernos y los particulares.
Software están incorporando cada vez más la funcionalidad de los modelos de lenguaje a gran escala (LLM) en sus aplicaciones. Modelos LLM tan conocidos como ChatGPT de OpenAI, Gemini de Google y LLaMA de Meta se han integrado ya en plataformas empresariales y herramientas para el consumidor. Desde los chatbots de atención al cliente hasta el software de productividad, la integración de la IA está impulsando la eficiencia, reduciendo los costes y manteniendo la competitividad de las organizaciones.
Pero toda nueva tecnología conlleva nuevos riesgos. Cuanto más dependemos de la IA, más atractiva resulta como objetivo para los atacantes. Hay una amenaza en particular que está cobrando fuerza: los modelos de IA maliciosos, archivos que parecen herramientas útiles pero que esconden peligros ocultos.
El riesgo oculto de los modelos preentrenados
Entrenar un modelo de IA desde cero puede llevar semanas, requerir ordenadores potentes y grandes conjuntos de datos. Para ahorrar tiempo, los desarrolladores suelen reutilizar modelos preentrenados que se comparten a través de plataformas como PyPI, Hugging Face o GitHub, normalmente en formatos como Pickle y PyTorch.
A primera vista, esto tiene mucho sentido. ¿Por qué reinventar la rueda si ya existe un modelo? Pero aquí está el problema: no todos los modelos son seguros. Algunos pueden modificarse para ocultar código malicioso. En lugar de limitarse a ayudar con el reconocimiento de voz o la detección de imágenes, pueden ejecutar silenciosamente instrucciones dañinas en el momento en que se cargan.
Los archivos Pickle son especialmente peligrosos. A diferencia de la mayoría de los formatos de datos, Pickle puede almacenar no solo información, sino también código ejecutable. Esto significa que los atacantes pueden ocultar malware dentro de un modelo que parece totalmente normal, introduciendo así una puerta trasera oculta a través de lo que parece un componente de IA de confianza.
De la investigación a los ataques en el mundo real
Alertas tempranas: un riesgo teórico
La idea de que los modelos de IA puedan ser objeto de uso indebido para distribuir malware no es nueva. Ya en 2018, los investigadores publicaron estudios como «Model-Reuse Attacks on Deep Learning Systems», en los que se demostraba que los modelos preentrenados procedentes de fuentes no fiables podían manipularse para que actuaran de forma maliciosa.
Al principio, esto parecía un experimento mental, una hipótesis del tipo «¿y si...?» que se debatía en los círculos académicos. Muchos pensaban que seguiría siendo algo demasiado minoritario como para tener importancia. Pero la historia demuestra que toda tecnología que se generaliza acaba convirtiéndose en un objetivo, y la IA no fue una excepción.
Prueba de concepto: hacer realidad el riesgo
El paso de la teoría a la práctica se produjo cuando salieron a la luz ejemplos reales de modelos de IA maliciosos que demostraban que los formatos basados en Pickle, como PyTorch, pueden incorporar no solo los pesos del modelo, sino también código ejecutable.
Un caso llamativo fue el de «star23/baller13», un modelo subido a Hugging Face a principios de enero de 2024. Contenía un shell inverso oculto dentro de un archivo PyTorch, y al cargarlo los atacantes podían obtener acceso remoto sin que ello impidiera que el modelo funcionara como un modelo de IA válido. Esto pone de manifiesto que los investigadores de seguridad estaban probando activamente pruebas de concepto a finales de 2023 y durante 2024.
En 2024, el problema ya no era un caso aislado. JFrog informó de que se habían subido más de 100 modelos maliciosos de IA/ML a Hugging Face, lo que confirmaba que esta amenaza había pasado de ser una mera teoría a convertirse en ataques reales.
Supply Chain : de los laboratorios al mundo real
Los atacantes también comenzaron a aprovecharse de la confianza depositada en los ecosistemas de software. En mayo de 2025, paquetes PyPI falsos como aliyun-ai-labs-snippets-sdk y ai-labs-snippets-sdk imitaron la marca de IA de Alibaba para engañar a los desarrolladores. Aunque estuvieron activos menos de 24 horas, estos paquetes se descargaron unas 1.600 veces, lo que demuestra la rapidez con la que los componentes de IA contaminados pueden infiltrarse en la cadena de suministro.
Para los responsables de seguridad, esto supone un doble riesgo:
- Interrupción de las operaciones si los modelos comprometidos contaminan las herramientas empresariales basadas en la inteligencia artificial.
- Riesgo normativo y de cumplimiento en caso de que se produzca una filtración de datos a través de componentes de confianza pero infectados con troyanos.
Evasión avanzada: cómo burlar las defensas tradicionales
En cuanto los atacantes se dieron cuenta del potencial que esto tenía, empezaron a experimentar con formas de hacer que los modelos maliciosos fueran aún más difíciles de detectar. Un investigador de seguridad conocido como coldwaterq demostró cómo se podía aprovechar la naturaleza de «Stacked Pickle» para ocultar código malicioso.
Al inyectar instrucciones maliciosas entre varias capas de objetos Pickle, los atacantes podían ocultar su carga útil, de modo que pareciera inofensiva para los escáneres tradicionales. Cuando se cargaba el modelo, el código oculto se descomprimía poco a poco, paso a paso, revelando su verdadero propósito.
El resultado es un nuevo tipo de amenaza para la cadena de suministro basada en la inteligencia artificial, que se caracteriza por su sigilo y su resistencia. Esta evolución pone de relieve la carrera armamentística entre los atacantes, que idean nuevas tácticas, y los defensores, que desarrollan herramientas para desenmascararlas.
Cómo ayudan las detecciones MetaDefender a prevenir los ataques de IA
A medida que los atacantes perfeccionan sus métodos, el simple análisis de firmas ya no es suficiente. Los modelos de IA maliciosos pueden utilizar técnicas de codificación, compresión o peculiaridades del formato Pickle para ocultar sus cargas maliciosas. MetaDefender subsana esta carencia mediante un análisis profundo y multicapa diseñado específicamente para formatos de archivo de IA y aprendizaje automático.
Aprovechamiento de las herramientas integradas de análisis de Pickle
MetaDefender integra Fickling con OPSWAT personalizados OPSWAT para descomponer los archivos Pickle en sus componentes. Esto permite a los responsables de la seguridad:
- Comprueba las importaciones inusuales, las llamadas a funciones inseguras y los objetos sospechosos.
- Identifica las funciones que nunca deberían aparecer en un modelo de IA normal (por ejemplo, comunicaciones de red, rutinas de cifrado).
- Generar informes estructurados para los equipos de seguridad y los flujos de trabajo del SOC.
El análisis destaca varios tipos de indicios que pueden señalar la presencia de un archivo Pickle sospechoso. Busca patrones inusuales, llamadas a funciones poco seguras u objetos que no se ajusten a la finalidad habitual de un modelo de IA.
En el contexto del entrenamiento de la IA, un archivo Pickle no debería requerir bibliotecas externas para la interacción con procesos, la comunicación en red o rutinas de cifrado. La presencia de tales importaciones es un claro indicio de intenciones maliciosas y debe señalarse durante la inspección.
Análisis estático en profundidad
Además del análisis sintáctico, el entorno de pruebas desensambla los objetos serializados y rastrea sus instrucciones. Por ejemplo, el código de operación REDUCEde Pickle —que puede ejecutar funciones arbitrarias durante la deserialización— se inspecciona minuciosamente. Los atacantes suelen hacer un uso indebido de REDUCE para lanzar cargas útiles ocultas, y el entorno de pruebas detecta cualquier uso anómalo.
Los autores de amenazas suelen ocultar la carga útil real tras capas adicionales de codificación. En los recientes incidentes relacionados con la cadena de suministro de PyPI, la carga útil final de Python se almacenaba como una larga cadena Base64; MetaDefender decodifica y descomprime automáticamente estas capas para revelar el contenido malicioso real.
Descubriendo técnicas de evasión deliberadas
El uso de Pickle anidado puede servir como truco para ocultar comportamientos maliciosos. Esto se consigue anidando varios objetos Pickle e inyectando la carga útil a través de las distintas capas, combinándolo además con compresión o codificación. Cada capa parece inofensiva por sí sola, por lo que muchos escáneres y análisis rápidos pasan por alto la carga útil maliciosa.
MetaDefender desentraña esas capas una a una: analiza cada objeto Pickle, decodifica o descomprime los segmentos codificados y sigue la cadena de ejecución para reconstruir la carga útil completa. Al reproducir la secuencia de descompresión en un flujo de análisis controlado, el entorno de pruebas (sandbox) revela la lógica oculta sin ejecutar el código en un entorno de producción.
Para los CISO, el resultado es claro: las amenazas ocultas salen a la luz antes de que los modelos contaminados lleguen a sus procesos de IA.
Conclusión
Los modelos de IA se están convirtiendo en los pilares del software moderno. Pero, al igual que cualquier otro componente de software, pueden utilizarse con fines maliciosos. La combinación de un alto nivel de confianza y una baja visibilidad los convierte en vectores ideales para los ataques a la cadena de suministro.
Como demuestran los casos reales, los modelos maliciosos ya no son una hipótesis: son una realidad. Detectarlos no es tarea fácil, pero es fundamental.
MetaDefender ofrece la profundidad, la automatización y la precisión necesarias para:
- Detectar cargas ocultas en modelos de IA preentrenados.
- Descubre tácticas de evasión avanzadas que pasan desapercibidas para los escáneres tradicionales.
- Protege los flujos de trabajo de MLOps, a los desarrolladores y a las empresas frente a componentes maliciosos.
Organizaciones de sectores clave ya confían en OPSWAT proteger sus cadenas de suministro. Con MetaDefender , ahora pueden ampliar esa protección a la era de la inteligencia artificial, donde la innovación no se consigue a costa de la seguridad.
Descubre más sobre MetaDefender y descubre cómo detecta las amenazas ocultas en los modelos de IA.
Indicadores de compromiso (IOC)
star23/baller13: pytorch_model.bin
SHA256: b36f04a774ed4f14104a053d077e029dc27cd1bf8d65a4c5dd5fa616e4ee81a4
ai-labs-snippets-sdk: model.pt
SHA256: ff9e8d1aa1b26a0e83159e77e72768ccb5f211d56af4ee6bc7c47a6ab88be765
aliyun-ai-labs-snippets-sdk: model.pt
SHA256: aae79c8d52f53dcc6037787de6694636ecffee2e7bb125a813f18a81ab7cdff7
coldwaterq_inject_calc.pt
SHA256: 1722fa23f0fe9f0a6ddf01ed84a9ba4d1f27daa59a55f4f61996ae3ce22dab3a
Servidores C2
hxxps[://]aksjdbajkb2jeblad[.]oss-cn-hongkong[.]aliyuncs[.]com/aksahlksd
Direcciones IP:
136.243.156.120
8.210.242.114
