Un equipo de investigadores de ciberseguridad formado por un argentino y dos israel\u00edes descubri\u00f3 una vulnerabilidad<\/strong> en un sistema clave que usa la gran mayor\u00eda de los servicios actuales de inteligencia artificial. El fallo estaba en una herramienta de Nvidia<\/strong>, la empresa que fabrica los chips para procesar las consultas de los usuarios en aplicaciones como ChatGPT, y ya fue arreglado.<\/strong><\/p>\n<\/div>\n Andr\u00e9s Riancho, Hillai Ben-Sasson y Ronen Shustin<\/strong>, integrantes del equipo de investigaci\u00f3n de la empresa de ciberseguridad Wiz, expusieron la investigaci\u00f3n en Black Hat, una de las convenciones de hackers m\u00e1s grandes del mundo, este mi\u00e9rcoles en Las Vegas.<\/p>\n<\/div>\n \u201cDescubrimos que, luego de explotar esta vulnerabilidad, era posible acceder a los mensajes que se env\u00edan entre los usuarios y los modelos de inteligencia artificial. Estos mensajes, sobre todo los enviados por los usuarios, pueden contener informaci\u00f3n sensible la cual podr\u00edamos haber le\u00eddo con el acceso que ten\u00edamos\u201d, explic\u00f3 a Clar\u00edn<\/strong> Riancho, el hacker argentino.<\/p>\n<\/div>\n Una vez que encontraron el problema, lo reportaron a Nvidia<\/strong>, que lo arregl\u00f3 para evitar que sea explotado de manera masiva por ciberatacantes: la vulnerabilidad era de car\u00e1cter cr\u00edtico, en tanto casi todos los sistemas usan esta tecnolog\u00eda de Nvidia.<\/p>\n<\/div>\n “En la conferencia que dimos este mi\u00e9rcoles en Black Hat hablamos de dos proveedores en la nube <\/strong>que usan esta tecnolog\u00eda de Nvidia, pero en realidad aplica a la gran mayor\u00eda de las plataformas de inteligencia artificial”.<\/p>\n<\/div>\n Este tipo de investigaciones se realizan bajo la \u00f3rbita de lo que se conoce como \u201cseguridad ofensiva\u201d<\/strong>, una rama de la ciberseguridad que busca fallas y vulnerabilidades en los sistemas para arreglarlos y hacerlos m\u00e1s seguros. La charla, a la que asisti\u00f3 este medio, mostr\u00f3 el paso a paso de la vulnerabilidad.<\/p>\n<\/div>\n “En ninguno de los casos accedimos a informaci\u00f3n de terceros: todas estas pruebas las hicimos con informaci\u00f3n propia, de la manera m\u00e1s responsable posible, incluso siempre trabajando de a dos para auditar cada paso del research, mantenemos logs de los comandos que ejecutamos, etc.”, aclar\u00f3 Riancho.<\/p>\n<\/div>\n Para poder explicar el ataque es necesario recordar c\u00f3mo funcionan los sistemas de inteligencia artificial generativa <\/strong>de consumo masivo en la actualidad, como ChatGPT, Grok, Claude o Gemini (Google).<\/p>\n<\/div>\n Para que una inteligencia artificial como ChatGPT funcione, se necesita un enorme poder <\/strong>de procesamiento computacional. Ese trabajo no lo hace la computadora del usuario, sino servidores en la nube, propiedad de empresas como OpenAI, Google o Amazon. Y en la mayor\u00eda de esos servidores, el motor son las placas gr\u00e1ficas de Nvidia, hoy indispensables para hacer andar estos modelos.<\/p>\n<\/div>\n Para administrar estos recursos se usan contenedores, <\/strong>que se pueden pensar como peque\u00f1as cajas virtuales que separan los procesos de distintos clientes dentro de una misma m\u00e1quina, y que funcionan gracias a un software llamado Nvidia Container Toolkit, que <\/em>es clave para entender la vulnerabilidad que encontr\u00f3 el equipo de Wiz Research.<\/p>\n<\/div>\n Todo esto tiene un sistema por detr\u00e1s que, a nivel t\u00e9cnico, se compartimenta en esos contenedores. “Los containers (Docker) se usan para aislar dos procesos distintos <\/strong>que corren en una misma m\u00e1quina. Muchas veces los proveedores en la nube (Amazon, DigitalOcean, Azure, etc.) usan estos contenedores para que un cliente no pueda saber los procesos de los datos de otro usuario.<\/p>\n<\/div>\n El ataque que realizaron Riancho, Ben-Sasson y Shustin es lo que se conoce como “Container Escape”,<\/strong> y permite escaparse de ese contenedor y ver la informaci\u00f3n de otro cliente que corre sobre esa misma m\u00e1quina. <\/p>\n<\/div>\n “Se puede pensar una met\u00e1fora: si vos pag\u00e1s por una habitaci\u00f3n de un hotel, no deber\u00edas tener acceso a otras habitaciones<\/strong>. Un container escape te permite entrar a los otros cuartos, ver qui\u00e9nes se alojan, qu\u00e9 ropa tienen y hasta quedarte a dormir ah\u00ed. Eso no deber\u00eda pasar”, dice el analista.<\/p>\n<\/div>\n “Quien usa IA, probablemente lo haga sobre hardware de Nvidia y, si se usan estos containers, se usa el ‘Nvidia Container Toolkit’ (porque es la \u00fanica opci\u00f3n que existe), que hace de puente entre un container y el hardware. Al identificar este problema y sabiendo que ese toolkit se usa en el 90% de los Cloud Service Providers,<\/em> ten\u00edamos una vulnerabilidad cr\u00edtica que afectaba a la gran mayor\u00eda de los servicios de IA que existen en el mercado”, sigue.<\/p>\n<\/div>\n En el mundo de la seguridad ofensiva, los analistas suelen reportar las vulnerabilidades a las empresas (aunque tambi\u00e9n se puede vender esa informaci\u00f3n a brokers que compran las vulnerabilidades). “Una vez que detectamos la vulnerabilidad, desarrollamos el exploit<\/em>, lo reportamos a Nvidia y, cuando la empresa lanza el parche, decidimos explotar esta vulnerabilidad en distintos proveedores: llegamos a explotar esta vulnerabilidad en m\u00e1s de una docena de estos servicios, as\u00ed que elegimos dos en los cuales enfocarnos, Replicate y DigitalOcean<\/strong>“.<\/p>\n<\/div>\n Como Nvidia Container Toolkit se usa en la gran mayor\u00eda de los servicios de IA actuales, el impacto potencial del ataque era muy grande y se considera un \u201cSingle Point of Failure\u201d (SPOF), o \u201cPunto \u00danico de Falla\u201d: si se cae un eslab\u00f3n, se cae todo.<\/strong><\/p>\n<\/div>\n “Desde mi punto de vista fue un SPOF, porque afecta a la mayor\u00eda de los Cloud Service Providers, dado que la Nvidia Container Toolkit es una tecnolog\u00eda ampliamente utilizada y que el exploit era muy simple de implementar, una vez que ten\u00edas la vulnerabilidad: el exploit era un Dockerfile con 7 l\u00edneas que, al final, permit\u00edan acceder al <\/em>sistema de archivos del host<\/em>\u201d, cierra con informaci\u00f3n t\u00e9cnica Riancho.<\/p>\n<\/div>\n Este tipo de investigaciones da la pauta, a fin de cuentas, del momento en el que se encuentran las industrias emergentes <\/strong>como la inteligencia artificial, que explot\u00f3 en el mercado del consumo masivo hace menos de tres a\u00f1os.<\/p>\n<\/div>\n “El estado de la seguridad en la inteligencia artificial es bastante d\u00e9bil,<\/strong> principalmente porque hay mucha presi\u00f3n del mercado de correr y lanzar productos nuevos. Esos productos nuevos no est\u00e1n probados sobre infraestructuras testeadas en seguridad, y esto lleva a que muchos de los errores que se cometieron en el pasado y ya fueron solucionados para sistemas m\u00e1s maduros, se repitan, ahora con la IA\u201d, reflexiona Riancho.<\/p>\n<\/div>\n “Creo que esto es normal, es parte del proceso de desarrollo y expansi\u00f3n de esta industria, que es muy nueva. Hay mucho para hacer en el \u00e1rea de seguridad<\/strong>, aunque siempre viene por detr\u00e1s de la implementaci\u00f3n de los productos”, agrega.<\/p>\n<\/div>\n Sin embargo, el analista cree que hay una tensi\u00f3n que las compa\u00f1\u00edas no pueden desatender. \u201cLas empresas que trabajan con IA deber\u00edan ser conscientes de la tensi\u00f3n que hay entre generar un nuevo producto y su seguridad<\/strong>. Siempre va a existir esa tensi\u00f3n: a veces los inversores no est\u00e1n tan interesados en que los productos sean seguros (como ser cuidar los datos de los clientes, por ejemplo), entonces los mismos desarrolladores dejan de lado cuestiones de seguridad que son importantes\u201d, dice.<\/p>\n<\/div>\n \u201cComo empresa que implementa estos sistemas hay que ir a lo b\u00e1sico, a cuestiones muy espec\u00edficas de IA relevantes pero son un tercer o cuarto paso en la lista de prioridades: control de accesos, qui\u00e9n puede ver qu\u00e9 informaci\u00f3n, c\u00f3mo la usamos, d\u00f3nde la guardamos, contrase\u00f1as fuertes, segundo factor de autenticaci\u00f3n<\/strong>. Son todas cosas que con la vor\u00e1gine de la IA, muchas veces, se pierden\u201d, cierra.<\/p>\n<\/div>\n Para m\u00e1s informaci\u00f3n t\u00e9cnica, el ataque que desarrollaron puede verse en este enlace.<\/p>\n<\/div>\n Black Hat es una de las conferencias de ciberseguridad m\u00e1s influyentes del mundo. Fue fundada en 1997 por Jeff Moss, conocido en el mundo del hacking como \u201cThe Dark Tangent\u201d, y si bien la principal es en Estados Unidos, tambi\u00e9n tiene ediciones en Asia y Europa.<\/p>\n<\/div>\n La convenci\u00f3n re\u00fane a expertos de todo el mundo para discutir vulnerabilidades, amenazas globales, t\u00e9cnicas de defensa y hallazgos in\u00e9ditos en materia de ciberseguridad. A diferencia de DEF CON, que se fund\u00f3 en 1993 y mantiene un esp\u00edritu m\u00e1s informal, Black Hat apunta al mundo corporativo.<\/p>\n<\/div>\n![\"Nvidia](\"https:\/\/13.com.ar\/wp-content\/uploads\/2025\/08\/un-argentino-descubre-una-vulnerabilidad-critica-en-casi-todos-los.jpg\"\/)
Nvidia se especializa en el dise\u00f1o y fabricaci\u00f3n de unidades de procesamiento gr\u00e1fico (GPU) y tecnolog\u00edas relacionadas con la IA. (Foto: Reuters)<\/span><\/span><\/picture><\/div>\nLa vulnerabilidad: paso a paso, c\u00f3mo es<\/h2>\n<\/p>\n
![\"La](\"https:\/\/13.com.ar\/wp-content\/uploads\/2025\/08\/1754580538_696_un-argentino-descubre-una-vulnerabilidad-critica-en-casi-todos-los.jpg\"\/)
La demostraci\u00f3n t\u00e9cnica. Foto: Juan Brodersen<\/span><\/span><\/picture><\/div>\nLa importancia de la investigaci\u00f3n: la seguridad en IA<\/h2>\n<\/p>\n
![\"Jensen](\"https:\/\/13.com.ar\/wp-content\/uploads\/2025\/08\/1754580538_339_un-argentino-descubre-una-vulnerabilidad-critica-en-casi-todos-los.jpg\"\/)
Jensen Huang, CEO de Nvidia, una de las empresas m\u00e1s valiosas del mundo. Foto: Reuters<\/span><\/span><\/picture><\/div>\nBlack Hat USA<\/h2>\n<\/p>\n
![\"Black](\"https:\/\/13.com.ar\/wp-content\/uploads\/2025\/08\/1754580538_488_un-argentino-descubre-una-vulnerabilidad-critica-en-casi-todos-los.jpg\"\/)
Black Hat, conferencia de ciberseguridad y hackers. Foto: Black Hat<\/span><\/span><\/picture><\/div>\n