728 x 90 px
La adopción masiva de la inteligencia artificial generativa en entornos corporativos no es la excepción. Este mes de abril de 2026, la industria de la seguridad informática ha recibido una alerta de máxima prioridad: Unit 42, el prestigioso equipo de investigación de amenazas de Palo Alto Networks, ha identificado una vulnerabilidad de alto impacto en el motor de agentes de Vertex AI dentro de Google Cloud Platform (GCP).
El hallazgo técnico demuestra que, bajo ciertas configuraciones predeterminadas de la plataforma, un agente de inteligencia artificial puede recibir privilegios de acceso absolutamente desproporcionados frente a la función que debe cumplir. Esta falla de diseño permite que un atacante informático comprometa al agente y lo transforme en un «agente doble» dentro del ecosistema en la nube, otorgándole la capacidad de consultar, acceder y extraer información confidencial de la empresa sin enfrentar restricciones de seguridad perimetral.
El origen del riesgo en la arquitectura de permisos
En la arquitectura de sistemas en la nube, la gestión de identidades y accesos (IAM) es el pilar que sostiene la seguridad de toda la infraestructura. La vulnerabilidad descubierta por Unit 42 tiene su origen geométrico en la asignación de permisos excesivos que el sistema otorga por defecto a un servicio interno específico.
(Automático aquí)
Técnicamente, el problema radica en el servicio conocido como Per-Project, Per-Product Service Agent (P4SA). Cuando una organización despliega un agente autónomo utilizando Vertex AI Agent Engine, la plataforma configura este servicio con un nivel de autorización sumamente amplio para garantizar que el modelo de IA funcione sin interrupciones. Sin embargo, esta falta de granularidad significa que un solo agente mal configurado, o manipulado mediante técnicas como inyección de instrucciones (prompt injection), se convierte de inmediato en un punto de acceso privilegiado y altamente peligroso dentro del proyecto de nube afectado.
El impacto operativo de un agente de inteligencia artificial comprometido
Las implicaciones de esta brecha técnica son severas. Al evadir el principio de privilegio mínimo (PoLP), el agente comprometido actúa con la autoridad de un administrador o servicio de alto nivel, eludiendo los controles que normalmente detendrían a un usuario regular.
Exposición masiva de datos en repositorios de almacenamiento
Durante las pruebas de penetración y evaluación de la vulnerabilidad, la investigación demostró que un atacante que logre comprometer a uno de estos agentes de IA obtiene capacidades de lectura irrestricta sobre todos los datos alojados en los Google Cloud Storage Buckets asociados al proyecto.
En un entorno corporativo estándar, estos contenedores de almacenamiento guardan desde bases de datos de clientes e información financiera hasta propiedad intelectual y copias de seguridad de la infraestructura. Esta exposición masiva significa que recursos operativos que deberían estar protegidos bajo estrictos controles de acceso y encriptación, quedan a merced de consultas automatizadas ejecutadas por el agente vulnerado.
Acceso a componentes de infraestructura central
El riesgo de esta configuración por defecto no se limita únicamente al robo de datos estáticos. El equipo de expertos de Unit 42 logró demostrar una escalada de privilegios lateral al acceder a repositorios internos de Artifact Registry, el servicio de Google utilizado para gestionar imágenes de contenedores y paquetes de software.
Desde estos repositorios, los investigadores lograron descargar imágenes de contenedores que conforman el núcleo del Vertex AI Reasoning Engine. Obtener acceso a estos componentes revela detalles internos de la infraestructura, configuraciones de red y dependencias de software. En manos de un actor malicioso, esta información táctica eleva exponencialmente el riesgo, abriendo la puerta a escenarios de ataque mucho más complejos y persistentes, como los ataques a la cadena de suministro de inteligencia artificial.
Vulnerabilidades asociadas a las autorizaciones OAuth y entornos de trabajo
Sumado a los problemas con el almacenamiento y los contenedores, el reporte técnico identificó un riesgo adicional relacionado con los protocolos de autenticación. Los agentes de Vertex AI operan con permisos predeterminados de OAuth 2.0 que resultaron ser demasiado amplios y, lo que es más crítico desde la perspectiva de la administración de sistemas, no modificables por el usuario final.
Esta rigidez en la configuración de las credenciales de autorización supone un vector de ataque expansivo. Bajo ciertas condiciones operativas, estas autorizaciones excesivas podrían permitir que el atacante utilice al agente de IA como puente para realizar movimientos laterales hacia otros servicios corporativos de la suite de Google. Dependiendo del contexto de despliegue, el ataque podría extenderse hasta los servicios de Google Workspace, comprometiendo bandejas de correo electrónico en Gmail o repositorios de documentos en Google Drive.
Medidas correctivas y evolución de las políticas de seguridad
Ante la gravedad del hallazgo, Unit 42 ejecutó un proceso de divulgación responsable, compartiendo de inmediato los detalles técnicos de su investigación con el equipo de seguridad de Google Cloud. Como resultado directo de esta colaboración técnica, el proveedor tecnológico ha actualizado su documentación oficial. Los nuevos manuales describen ahora con un mayor nivel de transparencia técnica cómo la arquitectura de Vertex AI utiliza los recursos de cómputo, las cuentas de servicio y los agentes, brindando a los administradores de sistemas la claridad necesaria para auditar su modelo de permisos.
Como profesional del sector, respaldo la advertencia final emitida por los investigadores. La adopción de agentes autónomos está creciendo a un ritmo exponencial en el sector empresarial, y las organizaciones deben auditar con especial cuidado las arquitecturas sobre las que operan. La autonomía computacional y la velocidad a la que estas herramientas ejecutan tareas implican que un solo permiso mal definido puede transformarse en una brecha de seguridad masiva. Implementar arquitecturas de confianza cero (Zero Trust) y auditar estrictamente los privilegios de la inteligencia artificial ya no es una recomendación técnica, sino una obligación ineludible para proteger la integridad de la información corporativa.
Amante de la tecnología con 7 años de experiencia en el cubrimiento informativo de este sector en temas como telecomunicaciones, tecnología de consumo, dispositivos móviles y plataformas en Colombia.
Mi opinión sobre tecnología ha sido tomada por medios como La República o AS. Soy especialista productos de consumo masivo y reviews de hardware. Soy director de tecnogus.com.co