La evolución de la Inteligencia Artificial impulsa la productividad, pero en ciberseguridad abre nuevas superficies de ataque. A diferencia de un modelo convencional, a un agente de IA se le delegan metas complejas que ejecuta de forma autónoma conectándose a APIs, bases de datos y al sistema operativo. El problema crítico es que los cibercriminales han descubierto la puerta trasera de esta automatización mediante el Skill Poisoning (Envenenamiento de Habilidades).
¿Qué es el Skill Poisoning y la campaña ClawHavoc?
Para expandir las capacidades de un agente de IA, los usuarios e ingenieros instalan complementos conocidos como Habilidades (Skills) desde mercados comunitarios o repositorios de código abierto (como ClawHub).
Una reciente investigación global destapó la campaña maliciosa denominada ClawHavoc, la cual logró infiltrar más de 800 «skills» infectadas en repositorios públicos. Los atacantes no necesitaron romper Firewalls complejos, utilizaron ingeniería social adaptada a la capa del lenguaje natural mediante dos tácticas principales:
- Typosquatting de extensiones: Publicar complementos maliciosos utilizando nombres casi idénticos a los oficiales (por ejemplo, registrar gogle-workspace o aws-conector aprovechando errores de digitación de los desarrolladores).
- Falsos Prerrequisitos de instalación: Alterar el archivo de instrucciones estándar (SKILL.md) del complemento de IA para indicarle al usuario que, para «completar la activación», debe copiar y pegar una línea de código específica en la terminal de comandos de su computadora.
Al ejecutar estas instrucciones engañosas, se activa de forma silenciosa un infostealer de última generación (Atomic Stealer). Este malware está diseñado específicamente para robar contraseñas guardadas en el navegador, credenciales de billeteras digitales y, lo más grave, las llaves de acceso SSH a los servidores centrales de las empresas.
El peligro del Shadow IT en la era del lenguaje natural
Para los Directores de TI y CISOs, el verdadero riesgo no radica en la Inteligencia Artificial por sí misma, sino en la proliferación del Shadow IT perimetral. Los colaboradores y equipos de desarrollo, impulsados por la prisa del día a día, descargan e instalan de forma voluntaria estas extensiones no autorizadas en sus estaciones de trabajo.
Dado que el agente de IA hereda automáticamente los permisos y privilegios de acceso del usuario que lo ejecuta, una sola habilidad comprometida le otorga al atacante la capacidad de exfiltrar de manera silenciosa los datos confidenciales a los que ese empleado tiene acceso legítimo.
Hacia una estrategia de Ciberprotección Adaptativa
Los antivirus tradicionales son ciegos ante ataques que manipulan la lógica de la IA. Proteger la infraestructura moderna exige un enfoque de defensa unificada en capas:
EDR/XDR: Monitoreo continuo de terminales para identificar anomalías de comportamiento.
DLP Avanzado: Auditoría y restricción en tiempo real de datos sensibles (código, finanzas, clientes) para evitar que se filtren en plataformas de IA externas.
CyberSOC Automatizado: Aislamiento autónomo de dispositivos comprometidos en milisegundos, protegiendo el núcleo transaccional del negocio.
Adoptar agentes de IA es clave para liderar el mercado, pero acelerar la productividad sin un control estricto del perímetro es un riesgo financiero y reputacional. La seguridad inteligente no prohíbe la innovación, automatiza su defensa.
¿Quieres blindar tu organización contra las nuevas amenazas invisibles? Comenta la palabra CYBERSOC aquí abajo y nuestro equipo se pondrá en contacto contigo para evaluar tu infraestructura con nuestro CyberSOC de nueva generación.
Fuente de la Investigación Principal Portal de Investigación: WeLiveSecurity (El blog global de inteligencia de amenazas de ESET).
- Artículo de Referencia: «Agentes de IA: cómo los atacantes usan ‘skills’ maliciosas para robar credenciales».
- Casos y Vectores Analizados: Detalla la campaña ClawHavoc, el descubrimiento de los más de 800 complementos envenenados, las tácticas de typosquatting en archivos de configuración (SKILL.md) y la inyección silenciosa del malware Atomic Stealer para la exfiltración de llaves SSH y credenciales de bases de datos.
- Enlace Oficial: WeLiveSecurity – Agentes de IA y Skills Maliciosas
