Guerra en la Sombra por Datos de LLMs

Una Ola de Brechas Expone Vulnerabilidades

La rápida adopción de modelos de lenguaje de gran tamaño (LLMs) de código abierto como DeepSeek y Ollama se ha convertido en un arma de doble filo. Si bien las empresas están aprovechando estas poderosas herramientas para aumentar la eficiencia, la misma apertura que impulsa su crecimiento está creando un aumento paralelo en los riesgos de seguridad de los datos. Un informe reciente compilado por NSFOCUS Xingyun Lab pinta un panorama sombrío: en solo los dos primeros meses de 2025, el mundo fue testigo de cinco brechas de datos significativas directamente relacionadas con los LLMs. Estos incidentes resultaron en la exposición de vastos tesoros de información confidencial, que van desde historiales de chat confidenciales y claves de API hasta credenciales de usuario críticas. Estos eventos son una llamada de atención, que destaca las vulnerabilidades de seguridad, a menudo pasadas por alto, que acechan bajo la superficie de la tecnología de IA de vanguardia. Esta exploración analizará estos cinco incidentes, diseccionando los métodos de ataque, mapeándolos al marco MITRE ATT&CK establecido y exponiendo los puntos ciegos de seguridad que las organizaciones deben abordar con urgencia.

Incidente 1: Base de Datos Mal Configurada de DeepSeek – Una Ventana a Conversaciones Privadas

Cronología: 29 de enero de 2025

Escala de la Fuga: Millones de líneas de datos de registro, incluidos historiales de chat confidenciales y claves de acceso.

Desarrollo de los Eventos:

El equipo de investigación de seguridad de Wiz inició este descubrimiento. Identificaron un servicio ClickHouse expuesto accesible en la Internet pública. Una investigación más profunda confirmó que este servicio pertenecía a la startup china de IA, DeepSeek. ClickHouse, diseñado para el manejo eficiente de grandes conjuntos de datos en el procesamiento analítico, desafortunadamente se convirtió en una puerta de entrada a los datos internos de DeepSeek. Los investigadores accedieron a aproximadamente un millón de líneas del flujo de registro de DeepSeek, revelando un tesoro de información confidencial, incluidos registros de chat históricos y claves de acceso cruciales.

Wiz alertó rápidamente a DeepSeek sobre la vulnerabilidad, lo que llevó a una acción inmediata y a la eliminación segura del servicio ClickHouse expuesto.

Diseccionando el Ataque:

El problema central residía en la vulnerabilidad de ClickHouse al acceso no autorizado. ClickHouse, un sistema de gestión de bases de datos orientado a columnas de código abierto, sobresale en la consulta y el análisis en tiempo real de conjuntos de datos masivos, a menudo utilizado para el análisis de registros y el comportamiento del usuario. Sin embargo, cuando se implementa sin los controles de acceso adecuados, su interfaz API expuesta permite a cualquiera ejecutar comandos similares a SQL.

El enfoque del equipo de seguridad de Wiz implicó un escaneo metódico de los subdominios de DeepSeek orientados a Internet. Inicialmente, centrándose en los puertos estándar 80 y 443, encontraron recursos web típicos como interfaces de chatbot y documentación de API. Para ampliar su búsqueda, se expandieron a puertos menos comunes como 8123 y 9000, y finalmente descubrieron servicios expuestos en múltiples subdominios.

Los datos de registro comprometidos, que datan del 6 de enero de 2025, contenían una gran cantidad de información confidencial: registros de llamadas, registros de texto para puntos finales de API internos de DeepSeek, historiales de chat detallados, claves de API, detalles del sistema backend y metadatos operativos.

Clasificación de Eventos de VERIZON: Errores Diversos

Mapeo del Marco MITRE ATT&CK:

• T1590.002 (Recopilar Información de la Red de la Víctima - Resolución de Nombres de Dominio): Los atacantes probablemente usaron el nombre de dominio principal para realizar la enumeración de subdominios.
• T1046 (Descubrimiento de Servicios Web): Los atacantes identificaron puertos y servicios abiertos asociados con el dominio de destino.
• T1106 (Interfaz Nativa): Los atacantes aprovecharon la API de ClickHouse para interactuar con la base de datos.
• T1567 (Exfiltración de Datos a través del Servicio Web): Los atacantes utilizaron la API de ClickHouse para robar datos.

Incidente 2: Ataque a la Cadena de Suministro de DeepSeek – Un Caballo de Troya en el Código

Cronología: 3 de febrero de 2025

Escala de la Fuga: Credenciales de usuario y variables de entorno.

Desarrollo de los Eventos:

El ataque comenzó el 19 de enero de 2025, cuando un usuario malicioso, identificado como ‘bvk’, subió dos paquetes maliciosos de Python llamados ‘deepseek’ y ‘deepseekai’ al popular repositorio PyPI (Python Package Index).

El equipo de inteligencia de amenazas del Centro de Seguridad Experto de Positive Technologies (PT ESC) detectó esta actividad sospechosa el mismo día. Su análisis confirmó la naturaleza maliciosa de los paquetes y notificaron rápidamente a los administradores de PyPI.

Los administradores de PyPI eliminaron rápidamente los paquetes maliciosos e informaron a PT ESC. A pesar de la rápida respuesta, las estadísticas revelaron que el malware se había descargado más de 200 veces en 17 países a través de varios canales. Los paquetes maliciosos fueron posteriormente aislados.

Diseccionando el Ataque:

Los paquetes maliciosos subidos por ‘bvk’ se centraron en dos objetivos principales: recopilación de información y robo de variables de entorno. Los datos robados incluían información confidencial como credenciales de bases de datos, claves de API y credenciales de acceso para el almacenamiento de objetos S3. La carga útil maliciosa se activaba cada vez que un usuario ejecutaba DeepSeek o Deepseekai desde la línea de comandos.

El atacante utilizó PipeDream como servidor de comando y control para recibir los datos robados. El incidente destaca varios factores contribuyentes:

• Ataque de Confusión de Dependencias: Los atacantes explotaron la diferencia de prioridad entre los paquetes privados de una organización y los paquetes públicos con el mismo nombre.
• Suplantación de Nombre de Paquete: Los paquetes maliciosos imitaban el nombre de la marca DeepSeek, una conocida empresa de IA, para engañar a los usuarios.
• Debilidad del Registro de PyPI: El proceso de registro de PyPI carecía de una verificación efectiva de la identidad del desarrollador y la legitimidad del nombre del paquete.
• Conciencia de Seguridad del Desarrollador: Es posible que los desarrolladores hayan instalado por error los paquetes maliciosos con nombres similares.

Clasificación de Eventos de VERIZON: Ingeniería Social

Mapeo del Marco MITRE ATT&CK:

• T1593.003 (Buscar en Sitios Web/Dominios Abiertos - Buscar en el Repositorio de Dependencias Disponible Públicamente): Los atacantes buscaron información en PyPI.
• T1195.002 (Compromiso de la Cadena de Suministro - Comprometer la Cadena de Suministro de Software): Los atacantes utilizaron malware disfrazado de dependencias de Python y lo subieron a PyPI.
• T1059.006 (Intérprete de Comandos y Scripts - Python): Los atacantes implantaron código malicioso en el paquete, que, al ejecutarse, filtraba datos confidenciales.
• T1041 (Exfiltración a través del Canal C2): Los atacantes exfiltraron información confidencial a través del canal C2 de PipeDream.

Incidente 3: Secuestro de LLM – DeepSeek como Objetivo para el Robo de Recursos

Cronología: 7 de febrero de 2025

Escala de la Fuga: Aproximadamente 2 mil millones de tokens de modelo utilizados ilegalmente.

Desarrollo de los Eventos:

El equipo de investigación de amenazas de Sysdig descubrió inicialmente un nuevo ataque dirigido a los LLMs, denominado ‘secuestro de LLM’ o ‘LLM hijacking’, en mayo de 2024.

En septiembre de 2024, Sysdig informó de una creciente frecuencia y prevalencia de estos ataques, con DeepSeek convirtiéndose cada vez más en un objetivo.

El 26 de diciembre de 2024, DeepSeek lanzó un modelo avanzado, DeepSeek-V3. Poco después, el equipo de Sysdig descubrió que DeepSeek-V3 se había implementado en un proyecto de proxy inverso de OpenAI (ORP) alojado en Hugging Face.

El 20 de enero de 2025, DeepSeek lanzó un modelo de inferencia llamado DeepSeek-R1. Al día siguiente, apareció un proyecto ORP compatible con DeepSeek-R1, y los atacantes comenzaron a explotarlo, poblando múltiples ORPs con claves de API de DeepSeek.

La investigación de Sysdig indicó que el número total de tokens de modelos grandes utilizados ilegalmente a través de ORPs había superado los 2 mil millones.

Diseccionando el Ataque:

El secuestro de LLM implica que los atacantes exploten credenciales de la nube robadas para apuntar a los servicios LLM alojados en la nube. Los atacantes aprovechan un proxy inverso de OAI (OpenAI) y credenciales robadas para vender esencialmente acceso a los servicios LLM suscritos de la víctima. Esto genera costos significativos de servicios en la nube para la víctima.

El proxy inverso de OAI actúa como un punto de gestión central para el acceso a múltiples cuentas de LLM, enmascarando las credenciales subyacentes y los grupos de recursos. Los atacantes pueden usar LLMs costosos como DeepSeek sin pagarlos, dirigiendo las solicitudes a través del proxy inverso, consumiendo recursos y eludiendo los cargos de servicio legítimos. El mecanismo de proxy oculta la identidad del atacante, lo que le permite hacer un mal uso de los recursos de la nube sin ser detectado.

Si bien el proxy inverso de OAI es un componente necesario para el secuestro de LLM, el elemento crucial es el robo de credenciales y claves para varios servicios de LLM. Los atacantes a menudo explotan las vulnerabilidades tradicionales de los servicios web y los errores de configuración (como la vulnerabilidad CVE-2021-3129 en el framework Laravel) para robar estas credenciales. Una vez obtenidas, estas credenciales otorgan acceso a servicios LLM basados en la nube como Amazon Bedrock, Google Cloud Vertex AI y otros.

La investigación de Sysdig reveló que los atacantes podían inflar rápidamente los costos de consumo de las víctimas a decenas de miles de dólares en cuestión de horas y, en algunos casos, hasta 100.000 dólares por día. La motivación de los atacantes se extiende más allá de la adquisición de datos; también se benefician vendiendo derechos de acceso.

Clasificación de Eventos de VERIZON: Ataques Básicos a Aplicaciones Web

Mapeo del Marco MITRE ATT&CK:

• T1593 (Buscar en Sitios Web/Dominios Abiertos): Los atacantes utilizaron métodos OSINT (Inteligencia de Fuentes Abiertas) para recopilar información sobre servicios expuestos.
• T1133 (Servicios Remotos Externos): Los atacantes identificaron vulnerabilidades en los servicios expuestos.
• T1586.003 (Comprometer Cuentas - Cuentas en la Nube): Los atacantes explotaron vulnerabilidades para robar credenciales de servicios LLM o servicios en la nube.
• T1588.002 (Obtener Capacidades - Herramienta): Los atacantes implementaron una herramienta de proxy inverso OAI de código abierto.
• T1090.002 (Proxy - Proxy Externo): Los atacantes utilizaron software de proxy inverso OAI para administrar el acceso a múltiples cuentas de LLM.
• T1496 (Secuestro de Recursos): Los atacantes lanzaron un ataque de inyección de LLM para secuestrar recursos de LLM.

Incidente 4: Brecha de Datos de OmniGPT – Datos de Usuario Vendidos en la Dark Web

Cronología: 12 de febrero de 2025

Escala de la Fuga: Información personal de más de 30.000 usuarios, incluidos correos electrónicos, números de teléfono, claves de API, claves de cifrado, credenciales e información de facturación.

Desarrollo de los Eventos:

El 12 de febrero de 2025, un usuario llamado ‘SyntheticEmotions’ publicó en BreachForums, afirmando haber robado datos confidenciales de la plataforma OmniGPT y ofreciéndolos a la venta. Los datos filtrados supuestamente incluían correos electrónicos, números de teléfono, claves de API, claves de cifrado, credenciales e información de facturación de más de 30.000 usuarios de OmniGPT, junto con más de 34 millones de líneas de sus conversaciones con chatbots. Además, se comprometieron los enlaces a los archivos cargados en la plataforma, algunos de los cuales contenían información confidencial como vales y datos de facturación.

Diseccionando el Ataque:

Si bien el vector de ataque preciso no se revela, el tipo y el alcance de los datos filtrados sugieren varias posibilidades: inyección SQL, abuso de API o ataques de ingeniería social podrían haber otorgado al atacante acceso a la base de datos backend. También es posible que la plataforma OmniGPT tuviera configuraciones incorrectas o vulnerabilidades que permitieran al atacante eludir la autenticación y acceder directamente a la base de datos que contiene la información del usuario.

El archivo ‘Messages.txt’ involucrado en una fuga secundaria contenía claves de API, credenciales de bases de datos e información de tarjetas de pago, lo que potencialmente permitía una mayor intrusión en otros sistemas o la manipulación de datos. Algunos documentos cargados por los usuarios de la plataforma contenían secretos comerciales confidenciales y datos de proyectos, lo que representa un riesgo para las operaciones comerciales si se utilizan indebidamente. Este incidente sirve como un duro recordatorio de la necesidad de mejorar la seguridad de los datos y la protección de la privacidad dentro de los sectores de IA y big data. Los usuarios deben extremar las precauciones al utilizar estas plataformas, y las organizaciones deben establecer políticas estrictas de uso de datos, implementando medidas como el cifrado, la minimización de datos y la anonimización de datos confidenciales. No hacerlo puede tener consecuencias legales, de reputación y económicas significativas.

Clasificación de Eventos de VERIZON: Errores Diversos

Mapeo del Marco MITRE ATT&CK:

• T1071.001 (Protocolo de Capa de Aplicación - Protocolos Web): Los atacantes podrían haber accedido a la información de usuario filtrada y a los datos confidenciales a través de la interfaz web de OmniGPT.
• T1071.002 (Protocolo de Capa de Aplicación - Interfaces de Programación de Aplicaciones): Las claves de API y las credenciales de bases de datos filtradas podrían permitir a los atacantes acceder al sistema a través de la API de la plataforma y realizar acciones no autorizadas.
• T1071.002 (Protocolo de Capa de Aplicación - Ejecución de Servicios): Los atacantes podrían abusar de los servicios o demonios del sistema para ejecutar comandos o programas.
• T1020.003 (Exfiltración Automatizada - Transferencia de Archivos): Los enlaces de archivos filtrados y los archivos confidenciales cargados por el usuario podrían ser objetivos para que los atacantes los descarguen, obteniendo más datos confidenciales para ataques posteriores.
• T1083 (Descubrimiento de Archivos y Directorios): Los atacantes podrían usar la información filtrada para obtener más información comercial clave.

Incidente 5: Credenciales de DeepSeek Filtradas en Common Crawl – Los Peligros de la Codificación Dura

Cronología: 28 de febrero de 2025

Escala de la Fuga: Aproximadamente 11.908 claves de API, credenciales y tokens de autenticación válidos de DeepSeek.

Desarrollo de los Eventos:

El equipo de seguridad de Truffle utilizó la herramienta de código abierto TruffleHog para escanear 400 TB de datos de diciembre de 2024 en Common Crawl, una base de datos de rastreadores que abarca 2.67 mil millones de páginas web de 47.5 millones de hosts. El escaneo reveló un hallazgo sorprendente: aproximadamente 11.908 claves de API, credenciales y tokens de autenticación válidos de DeepSeek estaban codificados directamente en numerosas páginas web.

El estudio también destacó la fuga de claves de API de Mailchimp, con alrededor de 1.500 claves encontradas codificadas en código JavaScript. Las claves de API de Mailchimp a menudo se explotan para ataques de phishing y robo de datos.

Diseccionando el Ataque:

Common Crawl, una base de datos de rastreadores web sin fines de lucro, captura y publica regularmente datos de páginas de Internet. Almacena estos datos en archivos WARC (Web ARChive), preservando el HTML original, el código JavaScript y las respuestas del servidor. Estos conjuntos de datos se utilizan con frecuencia para entrenar modelos de IA. La investigación de Truffle expone un problema crítico: entrenar modelos en corpus que contienen vulnerabilidades de seguridad puede llevar a que los modelos hereden esas vulnerabilidades. Incluso si los LLMs como DeepSeek emplean medidas de seguridad adicionales durante el entrenamiento y la implementación, la presencia generalizada de vulnerabilidades codificadas en los datos de entrenamiento puede normalizar tales prácticas ‘inseguras’ para los modelos.

La codificación dura, una práctica de codificación común pero insegura, es un problema generalizado. Si bien la causa raíz es simple, los riesgos son graves: filtraciones de datos, interrupciones del servicio, ataques a la cadena de suministro y, con el auge de los LLMs, una nueva amenaza: el secuestro de LLM. Como se discutió anteriormente, el secuestro de LLM implica que los atacantes utilicen credenciales robadas para explotar los servicios LLM alojados en la nube, lo que genera pérdidas financieras sustanciales para las víctimas.

Clasificación de Eventos de VERIZON: Errores Diversos

Mapeo del Marco MITRE ATT&CK:

• T1596.005 (Buscar en la Base de Datos Técnica Abierta - Escanear Bases de Datos): Los atacantes recopilaron información de la base de datos pública del rastreador.
• T1588.002 (Obtener Capacidades - Herramienta): Los atacantes implementaron una herramienta de descubrimiento de información confidencial.
• T1586.003 (Comprometer Cuentas - Cuentas en la Nube): Los atacantes utilizaron herramientas de descubrimiento de información confidencial para encontrar credenciales confidenciales en bases de datos públicas.
• T1090.002 (Proxy - Proxy Externo): Los atacantes utilizaron software de proxy inverso OAI para administrar el acceso a múltiples cuentas de LLM.
• T1496 (Secuestro de Recursos): Los atacantes lanzaron un ataque de inyección de LLM para secuestrar recursos de LLM.

Prevención de la Fuga de Datos de LLM: Un Enfoque Multifacético

Los incidentes analizados destacan la necesidad urgente de medidas de seguridad sólidas para proteger contra las filtraciones de datos relacionadas con LLM. Aquí hay un desglose de las estrategias preventivas, categorizadas por los incidentes relevantes:

Fortalecimiento de la Cadena de Suministro:

Aplicable al Incidente II (ataque de paquete de dependencia malicioso) y al Incidente V (filtración de datos públicos):

1. Verificación de Confianza de los Paquetes de Dependencia:

   • Emplear herramientas como PyPI/Sonatype Nexus Firewall para interceptar paquetes de dependencia no firmados o de origen sospechoso.
   • Prohibir la obtención directa de dependencias de repositorios públicos en entornos de desarrollo. Exigir el uso de proxies de repositorios privados corporativos (por ejemplo, Artifactory).

2. Monitoreo de Amenazas de la Cadena de Suministro:

   • Integrar herramientas como Dependabot/Snyk para escanear automáticamente en busca de vulnerabilidades de dependencia y bloquear la introducción de componentes de alto riesgo.
   • Verificar la firma de código de los paquetes de código abierto para garantizar que el valor hash coincida con el oficial.

3. Limpieza de la Fuente de Datos:

   • Durante la recopilación de datos de entrenamiento, filtrar la información confidencial de los conjuntos de datos públicos (como Common Crawl) utilizando expresiones regulares y herramientas de redacción basadas en IA para una doble verificación.

Implementación del Mínimo Privilegio y Control de Acceso:

Aplicable al Incidente I (error de configuración de la base de datos) y al Incidente IV (filtración de datos de herramientas de terceros):

• Habilitar la autenticación TLS bidireccional de forma predeterminada para bases de datos (como ClickHouse) y evitar la exposición de puertos de administración en redes públicas.
• Utilizar soluciones como Vault/Boundary para distribuir dinámicamente credenciales temporales, evitando la retención de claves estáticas a largo plazo.
• Adherirse al principio de mínimo privilegio, restringiendo el acceso del usuario solo a los recursos necesarios a través de RBAC (Control de Acceso Basado en Roles).
• Implementar listas blancas de IP y limitación de velocidad para las llamadas API a herramientas de terceros (como OmniGPT).

Garantizar la Protección del Ciclo de Vida Completo de los Datos Confidenciales:

Aplicable al Incidente III (secuestro de LLM):

• Redacción y Cifrado de Datos: Aplicar el cifrado a nivel de campo (por ejemplo, AES-GCM) para los datos de entrada y salida del usuario. Enmascarar los campos confidenciales en los registros.
• Habilitar la redacción en tiempo real para el contenido interactivo de los LLMs (por ejemplo, reemplazar números de tarjetas de crédito y números de teléfono con marcadores de posición).

Estas medidas preventivas, combinadas con la supervisión continua de la seguridad y la planificación de la respuesta a incidentes, son esenciales para mitigar los riesgos asociados con el uso creciente de los LLMs. El ‘campo de batalla invisible’ de la seguridad de LLM exige una vigilancia constante y un enfoque proactivo para salvaguardar los datos confidenciales en este panorama tecnológico en rápida evolución.