Cuando la inteligencia artificial ataca sola: la lección que deja el caso McKinsey
Un agente de IA hackeó en dos horas la base de datos central de McKinsey y expuso secretos globales.
La inteligencia artificial se está integrando cada vez más en los procesos críticos de las empresas. Automatiza análisis, acelera decisiones y concentra grandes volúmenes de información sensible. Pero un caso reciente demostró que, si la seguridad no acompaña ese crecimiento, el riesgo puede ser enorme.
A comienzos de marzo, la startup de ciberseguridad CodeWall reveló que uno de sus agentes autónomos de IA logró vulnerar Lilli, la plataforma interna de inteligencia artificial de McKinsey & Company. En menos de dos horas, el sistema obtuvo acceso de lectura y escritura a la base de datos de producción.
Lilli no era una aplicación menor. Lanzada en 2023, es utilizada por más de 43.000 consultores de la firma para analizar documentos, buscar información y trabajar sobre más de 100.000 archivos internos. La plataforma procesa cientos de miles de consultas mensuales y almacena información estratégica vinculada con finanzas, fusiones, adquisiciones y metodologías propias de la consultora.
Lo más llamativo es que el ataque no fue realizado por un especialista trabajando manualmente. Fue un agente de IA que actuó de forma autónoma: identificó la superficie expuesta, encontró vulnerabilidades y las combinó hasta lograr el acceso completo.
El agente comenzó explorando la documentación pública de la API de la plataforma. Allí encontró más de 200 puntos de acceso. Aunque la mayoría requería autenticación, varios estaban expuestos sin protección. Uno de ellos presentaba una vulnerabilidad clásica de inyección SQL, una falla conocida desde hace décadas.
Sin embargo, el verdadero problema no fue solamente la existencia de esa vulnerabilidad, sino la capacidad del agente para detectar relaciones que los escáneres tradicionales no suelen ver. El sistema probó distintas rutas, combinó fallas y escaló privilegios a gran velocidad, aprovechando un patrón poco habitual en el manejo de claves JSON dentro de las consultas.
El resultado fue alarmante: quedaron potencialmente expuestos millones de mensajes internos, cientos de miles de archivos, decenas de miles de cuentas de usuario y las instrucciones que controlaban el comportamiento de la propia inteligencia artificial.
Pero existe un aspecto todavía más preocupante. Además de leer la información, el atacante podía modificarla.
Las instrucciones internas o “prompts” que definen cómo responde la IA estaban almacenadas dentro de la misma base de datos comprometida. Eso significa que un atacante podría haber alterado silenciosamente el comportamiento de la plataforma sin necesidad de instalar malware ni modificar código.
En la práctica, esto podría traducirse en recomendaciones manipuladas, datos alterados o respuestas diseñadas para filtrar información confidencial. Y lo más peligroso es que este tipo de cambios no suele dejar huellas visibles en los registros tradicionales de seguridad.
La compañía reaccionó rápidamente: bloqueó los accesos vulnerables, retiró la documentación expuesta y realizó una investigación forense. Según informó, no encontró evidencia de que terceros hayan accedido a información de clientes. Sin embargo, el caso dejó una señal muy clara para todas las organizaciones.
La principal enseñanza no es que una gran empresa haya cometido un error. La verdadera advertencia es que incluso organizaciones con altos presupuestos y equipos especializados pueden dejar expuestas vulnerabilidades básicas cuando incorporan soluciones de IA sin una estrategia de seguridad específica.
Hoy las empresas dedican tiempo y recursos a proteger servidores, redes y aplicaciones. Pero la capa de inteligencia artificial —sus modelos, APIs, prompts e integraciones— se ha convertido en una nueva superficie de ataque. Y muchas veces todavía no recibe el mismo nivel de protección.
Cuanto más útil y más integrada está una herramienta de IA en el trabajo diario, mayor es el impacto potencial si alguien logra manipularla.
Por eso ya no alcanza con implementar inteligencia artificial y pensar en la seguridad después. Es necesario incorporar controles desde el diseño: autenticación robusta, monitoreo continuo, protección de APIs, auditoría de prompts, segmentación de accesos y detección temprana de anomalías.
En SCD ayudamos a las organizaciones a enfrentar este nuevo escenario. A través de soluciones como Cisco Systems AI Defense, Splunk, Cisco Duo y herramientas avanzadas de protección para infraestructura crítica, es posible detectar comportamientos anómalos, proteger accesos y reducir los riesgos asociados a la inteligencia artificial antes de que se transformen en un incidente real.