Agentes de IA están a punto de convertirse en la próxima gran vulnerabilidad de las criptomonedas

Los agentes de inteligencia artificial en criptomonedas están cada vez más integrados en monederos, bots de trading y asistentes onchain que automatizan tareas y toman decisiones en tiempo real.

Aunque todavía no es un marco estándar, el Protocolo de Contexto de Modelo (Model Context Protocol o MCP) está emergiendo en el núcleo de muchos de estos agentes. Si las blockchains tienen contratos inteligentes para definir lo que debe ocurrir, los agentes de IA tienen MCP para decidir cómo pueden ocurrir las cosas.

El MCP puede actuar como la capa de control que gestiona el comportamiento de un agente de IA, como qué herramientas utiliza, qué código ejecuta y cómo responde a las entradas del usuario.

Esa misma flexibilidad también crea una poderosa superficie de ataque que puede permitir a plugins maliciosos anular comandos, envenenar entradas de datos o engañar a los agentes para que ejecuten instrucciones dañinas.

Los vectores de ataque de MCP exponen los problemas de seguridad de los agentes de IA

Según VanEck, la cantidad de agentes de IA en la industria de las criptomonedas había superado los 10.000 a finales de 2024 y se espera que supere el millón en 2025.

La empresa de seguridad SlowMist ha descubierto cuatro posibles vectores de ataque que los desarrolladores deben tener en cuenta. Cada vector de ataque se entrega a través de un plugin, que es la forma como los agentes basados en MCP amplían sus capacidades, ya sea extrayendo datos de precios, ejecutando operaciones o realizando tareas del sistema.

• Envenenamiento de datos: Este ataque hace que los usuarios realicen pasos engañosos. Manipula el comportamiento del usuario, crea falsas dependencias e inserta lógica maliciosa al principio del proceso.

• Ataque de inyección JSON: Este plugin recupera datos de una fuente local (potencialmente maliciosa) a través de una llamada JSON. Esto puede dar lugar a fugas de datos, manipulación de comandos o eludir los mecanismos de validación alimentando al agente con entradas contaminadas.

• Anulación de funciones competitivas: Esta técnica sustituye funciones legítimas del sistema por código malicioso. Impide que se produzcan las operaciones esperadas e incrusta instrucciones ofuscadas, alterando la lógica del sistema y ocultando el ataque.

• Ataque de llamada Cross-MCP: Este plugin induce a un agente de IA a interactuar con servicios externos no verificados mediante mensajes de error codificados o indicaciones engañosas. Amplía la superficie de ataque mediante la vinculación de múltiples sistemas, creando oportunidades para una mayor explotación.

Estos vectores de ataque no son sinónimos del envenenamiento de los propios modelos de IA, como GPT-4 o Claude, que pueden implicar la corrupción de los datos de entrenamiento que dan forma a los parámetros internos de un modelo. Los ataques demostrados por SlowMist se dirigen a agentes de IA —que son sistemas construidos sobre modelos— que actúan sobre entradas en tiempo real utilizando plugins, herramientas y protocolos de control como MCP.

“El envenenamiento de modelos de IA implica inyectar datos maliciosos en muestras de entrenamiento, que luego se incrustan en los parámetros del modelo”, dijo a Cointelegraph “Monster Z”, el cofundador de la firma de seguridad blockchain SlowMist. “En cambio, el envenenamiento de agentes y MCP proviene principalmente de información maliciosa adicional introducida durante la fase de interacción del modelo”. 

“Personalmente, creo que el nivel de amenaza [envenenamiento de agentes] y el alcance de los privilegios son mayores que los del envenenamiento de IA independiente”, dijo.

El MCP en agentes de IA es una amenaza para las criptos

La adopción de MCP y agentes de IA es todavía relativamente nueva en las criptos. SlowMist identificó los vectores de ataque de los proyectos de MCP prelanzados que auditó, lo que mitigó las pérdidas reales para los usuarios finales. 

Sin embargo, el nivel de amenaza de las vulnerabilidades de seguridad de los MCP es muy real, según Monster, que recordó una auditoría en la que la vulnerabilidad podría haber dado lugar a fugas de claves privadas, un calvario catastrófico para cualquier proyecto o inversor cripto, ya que podría otorgar el control total de los activos a actores no invitados.

“En el momento en que abres tu sistema a plugins de terceros, estás ampliando la superficie de ataque más allá de tu control”, dijo Guy Itzhaki, CEO de la firma de investigación de cifrado Fhenix, a Cointelegraph.

“Los plugins pueden actuar como rutas de ejecución de código de confianza, a menudo sin un sandboxing adecuado. Esto abre la puerta a la escalada de privilegios, inyección de dependencias, anulaciones de funciones y —lo peor de todo— fugas de datos silenciosas”, añadió. 

Proteger la capa de IA antes de que sea demasiado tarde

Construye rápido, rompe cosas y luego te hackearán. Ése es el riesgo al que se enfrentan los desarrolladores que dejan la seguridad para la segunda versión, especialmente en el entorno onchain de alto riesgo de las criptomonedas.

El error más común que cometen los creadores es asumir que pueden pasar desapercibidos durante un tiempo e implementar medidas de seguridad en actualizaciones posteriores al lanzamiento. Así lo afirma Lisa Loud, directora ejecutiva de Secret Foundation.

“Hoy en día, cuando se construye cualquier sistema basado en plugins, especialmente si es en el contexto de las criptos, que son públicas y onchain, hay que construir la seguridad primero y todo lo demás después”, dijo a Cointelegraph.

Los especialistas en seguridad de SlowMist recomiendan a los desarrolladores que apliquen una estricta verificación de los plugins, impongan la desinfección de las entradas, apliquen los principios del mínimo privilegio y revisen periódicamente el comportamiento de los agentes.

Loud dijo que “no es difícil” implementar estos controles de seguridad para evitar inyecciones maliciosas o envenenamiento de datos, sólo “tedioso y consume mucho tiempo”, siendo un pequeño precio a pagar para asegurar los fondos de las criptos.

A medida que los agentes de IA amplían su huella en la infraestructura cripto, no se puede exagerar la necesidad de una seguridad proactiva. 

El marco MCP puede desbloquear nuevas y potentes capacidades para esos agentes, pero sin robustas salvaguardas en torno a los plugins y el comportamiento del sistema, podrían pasar de ser útiles asistentes a vectores de ataque, poniendo en riesgo los monederos de criptomonedas, los fondos y los datos.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.