Un experimento de ciberseguridad reveló que un agente autónomo de inteligencia artificial pudo vulnerar en menos de dos horas la plataforma interna de IA de la consultora McKinsey & Company. El sistema logró escalar privilegios y acceder a decenas de millones de mensajes y cientos de miles de archivos confidenciales al explotar fallas en la interfaz de programación de la herramienta
Redacción Más
Un agente autónomo de inteligencia artificial logró infiltrarse en la base de datos interna de la consultora internacional McKinsey & Company y acceder a millones de registros confidenciales en menos de dos horas, en un experimento que encendió las alertas sobre los riesgos de seguridad que enfrentan las empresas al implementar herramientas de IA en sus procesos internos.
De acuerdo con información publicada por el portal Infobae, la startup de ciberseguridad CodeWall reveló el 9 de marzo que su agente autónomo consiguió acceso total de lectura y escritura a la base de datos de Lilli, la plataforma de inteligencia artificial desarrollada por la firma consultora para apoyar el trabajo de sus empleados.
Lilli fue lanzada en 2023 y es utilizada por más del 70% del personal de McKinsey, lo que representa cerca de 43 mil consultores que la emplean para analizar documentos, consultar archivos internos y procesar información estratégica.
El sistema gestiona más de 500 mil consultas al mes y concentra décadas de investigación, metodologías y análisis que constituyen parte fundamental del capital intelectual de la empresa.
Según el reporte, el agente de IA comenzó analizando la superficie pública de la plataforma y detectó documentación de su interfaz de programación con más de 200 puntos de acceso.
Aunque la mayoría requería autenticación, al menos 22 de ellos estaban expuestos. Uno de esos accesos presentaba una vulnerabilidad de inyección SQL, una falla de seguridad conocida desde los años noventa.
A diferencia de los escáneres de seguridad tradicionales, el sistema autónomo no siguió un protocolo fijo. En cambio, fue capaz de mapear las vulnerabilidades, probar distintas rutas y escalar privilegios automáticamente hasta alcanzar la base de datos central.
Como resultado, obtuvo acceso a 46.5 millones de mensajes relacionados con estrategias empresariales, fusiones y adquisiciones, además de 728 mil archivos confidenciales, 57 mil cuentas de usuario y decenas de instrucciones del sistema que regulaban el funcionamiento del asistente de inteligencia artificial.
Uno de los aspectos más preocupantes del caso fue la posibilidad de modificar los llamados system prompts, es decir, las instrucciones internas que determinan cómo responde la IA.
Al encontrarse en la misma base de datos comprometida, un atacante podría haber alterado esas directrices sin dejar rastros evidentes en los registros de seguridad. Esto habría permitido manipular recomendaciones financieras, análisis corporativos o incluso filtrar información sensible a través de las respuestas generadas por el sistema.
Tras ser notificada el 1 de marzo mediante la plataforma de divulgación responsable HackerOne, McKinsey aseguró haber corregido rápidamente las fallas. La empresa informó que al día siguiente se habían parcheado los accesos vulnerables, desconectado el entorno de desarrollo y restringido la documentación pública de la API.
En un comunicado emitido el 11 de marzo, la consultora afirmó que su investigación, respaldada por un análisis forense externo, no encontró evidencia de que datos de clientes hayan sido consultados por terceros no autorizados.
No obstante, especialistas en ciberseguridad advierten que el incidente evidencia un problema más amplio: la rápida adopción de sistemas de inteligencia artificial sin auditorías de seguridad adaptadas a estas nuevas tecnologías.
El caso demuestra que los sistemas de IA corporativos pueden convertirse en objetivos de alto valor para atacantes, especialmente cuando concentran grandes volúmenes de información estratégica.
Para los analistas, el episodio también revela una nueva superficie de ataque digital: la capa de instrucciones o prompts que gobiernan el comportamiento de los sistemas de inteligencia artificial.
Si estas directrices son manipuladas, los empleados podrían recibir información alterada sin sospechar que el origen del problema está en la propia herramienta que utilizan a diario.
El experimento de CodeWall fue presentado como una demostración tecnológica, pero especialistas advierten que el verdadero riesgo radica en que actores estatales o grupos criminales podrían emplear herramientas similares para comprometer sistemas corporativos en cuestión de horas, lo que plantea un desafío urgente para la seguridad digital en la era de la inteligencia artificial.
Descubre más desde Más Información
Suscríbete y recibe las últimas entradas en tu correo electrónico.