En su Informe de amenazas globales de 2026, CrowdStrike informó ataques de inyección rápida en más de 90 organizaciones durante 2025. Las indicaciones inyectadas generaron comandos que robaron credenciales y criptomonedas, lo que marca un cambio significativo ya que estas indicaciones ahora funcionan como malware.
El informe documentó un aumento interanual del 89% en las operaciones adversarias habilitadas por IA. Además, el 82% de las intrusiones no involucraron ningún código malicioso tradicional y ocurrieron cuando las empresas pasaron a utilizar agentes, copilotos y automatizaciones de navegadores que acceden al correo electrónico, códigos, pagos y archivos compartidos.
La inyección rápida ha mantenido su primer puesto como LLM01 en el OWASP Top 10 para aplicaciones de modelos de lenguaje grandes durante dos ediciones consecutivas. OWASP destacó que los modelos de lenguaje no pueden distinguir de manera confiable las instrucciones del desarrollador del texto que no es confiable, transformando lo que alguna vez fue una curiosidad de investigación en una vulnerabilidad operativa.
La inyección directa de mensajes tiene lugar cuando un usuario escribe instrucciones para anular un mensaje del sistema, mientras que la inyección indirecta ocurre cuando un atacante inserta instrucciones en el contenido que el modelo lee más tarde, como correos electrónicos o documentos. El usuario no ve la carga útil y el agente ejecuta los comandos maliciosos sin interacción.
Dos incidentes notables arrojan luz sobre la gravedad de estas vulnerabilidades. En agosto de 2024, PromptArmor reveló que un atacante de IA de Slack podría exfiltrar datos de canales privados colocando instrucciones en canales públicos o archivos cargados. Al año siguiente, Aim Security informó EchoLeak (CVE-2025-32711), donde un correo electrónico manipulado dirigía a Microsoft 365 Copilot para recuperar archivos internos y enviarlos a un servidor controlado por un atacante, logrando una puntuación CVSS de 9,3. Ambas vulnerabilidades fueron parcheadas, pero la clase de ataques sigue sin resolverse.
El área superficial de vulnerabilidad se ha ampliado para incluir una pila de agentes más amplia, donde los agentes que ejecutan diversas tareas tratan su contexto como autoritativo. Este desarrollo significa que la memoria del agente a largo plazo puede retener y ejecutar instrucciones maliciosas repetidamente.
OpenAI reconoció en diciembre de 2025 que es poco probable que la inyección rápida se resuelva por completo, comparándola a menudo con la ingeniería social. La tarjeta del sistema Claude Opus 4.6 de Anthropic indicó una tasa de éxito del 17,8% para un único intento de inyección rápida, aumentando al 78,6% en 200 intentos sin medidas de seguridad. Google informó una tasa de éxito del 53,6% para la inyección rápida en su implementación Gemini.
En diciembre de 2025, Gartner aconsejó a los CISO que bloquearan todos los navegadores de IA, citando la inyección rápida indirecta y otros riesgos asociados con controles insuficientes. Cyberhaven informó que el 27,7% de las organizaciones tenían al menos un usuario con la herramienta de inteligencia artificial Atlas bloqueada instalada, una advertencia de la que se hicieron eco el Centro Nacional de Seguridad Cibernética del Reino Unido y el BSI de Alemania.
Las limitaciones de las defensas existentes contra la inyección rápida provienen de los canales de texto compartidos en los modelos de lenguaje. La validación de entradas, el filtrado de salidas y otros métodos de detección tienen problemas debido a la incapacidad inherente de separar los comandos autorizados del contenido que no es de confianza dentro del modelo.
Un hallazgo separado indicó que el 65,3% de las organizaciones carecen de defensas dedicadas contra la inyección rápida, confiando en cambio en medidas proporcionadas por los proveedores y capacitación en políticas. Los controles efectivos deben incluir limitar la autoridad de cada agente, requerir aprobación humana para acciones críticas, etiquetar las fuentes de recuperación según su sensibilidad e implementar prácticas de auditoría.
A medida que las organizaciones consideran las implementaciones de IA, se alienta a los equipos de seguridad a preguntar a los proveedores sobre las capacidades de detección, las tasas de éxito frente a las inyecciones rápidas, el cumplimiento de las recomendaciones de OWASP y la capacidad de registrar las acciones exactas de los agentes. Dadas las vulnerabilidades, es fundamental que las empresas asuman que los modelos ocasionalmente pueden seguir instrucciones inyectadas, lo que requiere controles externos sólidos.
