Security

Threat modeling para AI generativa y agentic

3 min de lectura

Resumen

Microsoft explica que el threat modeling para IA generativa y sistemas agentic debe evolucionar porque estos modelos no son deterministas, son vulnerables a la manipulación mediante prompt injection y amplían la superficie de ataque al usar herramientas, memoria y APIs. Esto importa porque los equipos de seguridad ya no pueden evaluar solo fallos tradicionales: deben anticipar comportamientos probabilísticos y daños de alto impacto que pueden propagarse rápidamente entre componentes y afectar directamente a las personas.

¿Necesita ayuda con Security?Hablar con un experto

Introducción: por qué esto importa

El threat modeling ayuda a los equipos a identificar lo que puede salir mal de forma temprana—antes de que ocurran fallos en el mundo real o exploits adversariales. Microsoft señala que las aplicaciones de AI (especialmente los sistemas generativos y agentic) rompen muchas suposiciones del software tradicional y determinista, por lo que los equipos de seguridad deben adaptar su enfoque de threat modeling para contemplar salidas probabilísticas, superficies de ataque ampliadas y daños centrados en las personas.

Qué hay de nuevo: cómo la AI cambia el panorama de amenazas

Microsoft destaca tres características que cambian fundamentalmente el threat modeling para AI:

  • No determinismo: la misma entrada puede producir salidas diferentes entre ejecuciones, lo que exige analizar rangos de comportamiento probable—incluidos resultados raros pero de alto impacto.
  • Sesgo de seguimiento de instrucciones: los modelos están optimizados para ser útiles, lo que los hace más susceptibles a prompt injection, coerción y manipulación—especialmente cuando los datos y las instrucciones comparten el mismo canal de entrada.
  • Expansión del sistema mediante tools y memory: los sistemas agentic pueden llamar APIs, conservar estado y activar workflows de forma autónoma. Cuando algo sale mal, los fallos pueden acumularse rápidamente entre componentes.

Estas propiedades transforman riesgos conocidos en nuevas formas, incluidas:

  • Prompt injection directo e indirecto (incluido a través de contenido externo que el modelo recupera)
  • Uso indebido de tools y escalada de privilegios mediante chaining
  • Exfiltración silenciosa de datos (salidas o llamadas a tools que filtran información sensible)
  • Salidas con errores pero expresadas con confianza que se tratan como hechos
  • Daños centrados en las personas como erosión de la confianza, dependencia excesiva, refuerzo de sesgos y desinformación persuasiva

Threat model a partir de los assets, no de los ataques

Una recomendación clave es comenzar definiendo explícitamente qué estás protegiendo—porque los assets de AI van más allá de bases de datos y credenciales. Los assets comunes específicos de AI incluyen:

  • Seguridad del usuario (especialmente cuando la guía de la AI influye en acciones)
  • Confianza del usuario en las salidas y el comportamiento
  • Privacidad/seguridad de datos sensibles del negocio y de los usuarios
  • Integridad de prompts, instrucciones y datos contextuales
  • Integridad de las acciones del agent y de los efectos downstream

Este enfoque primero en assets también obliga a tomar decisiones de política desde el inicio: ¿Qué acciones no debería tomar nunca el sistema? Algunos resultados pueden ser inaceptables independientemente del beneficio.

Modela el sistema que realmente construiste

Microsoft subraya que el threat modeling para AI debe reflejar la operación real, no diagramas idealizados. Presta especial atención a:

  • Cómo interactúan realmente los usuarios con el sistema
  • Cómo se ensamblan y transforman los prompts, la memory y el contexto
  • Qué fuentes externas se ingieren y qué suposiciones de confianza existen
  • Qué tools/APIs puede invocar el sistema (y con qué permisos)
  • Si las acciones son reactivas o autónomas, y dónde se aplica la aprobación humana

En los sistemas de AI, el prompt assembly pipeline se convierte en un boundary de seguridad de primera clase—la recuperación de contexto, la transformación, la persistencia y la reutilización son donde se acumulan suposiciones de confianza “silenciosas”.

Impacto en administradores de IT y responsables de plataforma

Para administradores que despliegan soluciones de AI (aplicaciones personalizadas, Copilots o workflows agentic), esta guía refuerza que los controles deben cubrir:

  • Todo el recorrido data-to-prompt-to-action (no solo el hosting del modelo)
  • Permisos y guardrails para el acceso a tools y automatizaciones downstream
  • Monitorización operativa de salidas inesperadas, llamadas inusuales a tools y patrones de exfiltración

Acciones / próximos pasos

  • Inventaria los assets de AI: incluye confianza, seguridad e integridad de instrucciones/contexto.
  • Mapea el prompt pipeline de extremo a extremo: fuentes, recuperación, transformación, memory y reutilización.
  • Restringe permisos de tools y exige aprobación humana para acciones de alto impacto.
  • Prueba inyección y mal uso: incluye prompt injection indirecto a través de contenido recuperado.
  • Planifica para accidentes: mitiga la dependencia excesiva con señales de UX, pasos de validación y rutas de escalamiento.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Scott Christiansen, Alyssa Ofstein and Neil Coles
AI securitythreat modelingprompt injectionagentic AIrisk management

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.