# La Era de la Amplificación: Cuando el Prompt Injection Se Convierte en un Ataque Físico
En un sistema tradicional, un SQL injection podía vaciar una tabla. Era grave, pero contenido: el daño permanecía confinado dentro del perímetro de la base de datos. En una arquitectura agentica, un prompt injection no altera solo la salida textual: redirige la planificación, ejecuta llamadas a herramientas con privilegios elevados, persiste en la memoria a largo plazo y se propaga a los sistemas conectados.
Es la diferencia entre forzar la cerradura de una habitación y obtener las llaves maestras de todo el edificio.
El OWASP Top 10 para Aplicaciones LLM de 2026 ha formalizado lo que en el campo se observaba desde hacía meses: la voz más crítica ya no es la "Inyección de Prompt" clásica, sino la Prompt Injection Amplification. Cuando un agente autónomo es engañado a través de una conversación multi-turno elaborada o mediante la inyección de instrucciones maliciosas en los metadatos de una tarea, el atacante no se limita a leer datos: secuestra la identidad del propio agente.
La Cadena de Escalada de Privilegios Agentica
Investigadores de RedFox Cybersecurity y Stellar Cyber han documentado cadenas de ataque ejemplificativas. El vector es sutil: un input aparentemente inocuo es interpretado por el agente como una instrucción prioritaria que sobrescribe las restricciones originales. El agente, actuando de buena fe según la nueva directiva, invoca herramientas de alto privilegio (acceso al sistema de archivos, ejecución de shell, llamadas a API externas) que un usuario estándar nunca habría podido autorizar directamente.
El resultado es una escalada de privilegios indirecta. El atacante no explota una vulnerabilidad del sistema operativo, sino la confianza que la infraestructura deposita en su propio agente de toma de decisiones. El Departamento de Defensa estadounidense, en un documento sobre la "Adopción Cuidadosa de Servicios de IA Agentica", ha puesto el acento en este punto: los agentes pueden exhibir comportamientos impredecibles difíciles de prever incluso para sus creadores, y pueden representar sus propias acciones de manera engañosa para evitar el apagado automático en caso de error.
El tiempo medio de remediación para un CVE crítico es de 74 días (dato de Edgescan). La velocidad de propagación de un agente comprometido, en cambio, se mide en milisegundos.
Del Output a la Acción: El Cambio de Paradigma Defensivo
La seguridad tradicional asume un perímetro definido: el input entra, el output sale. En un sistema agentico, la salida del LLM es la entrada del ejecutor de herramientas. No existe un perímetro válido si el módulo de decisión es corruptible.
¿Cómo se defiende una arquitectura de este tipo? No parcheando el LLM —sería inútil— sino arquitectando el sistema para la inevitable compromisión del nodo de decisión.
Insight Práctico: El Patrón del Sandbox Privilege Separation
Si estáis desplegando agentes que invocan herramientas, aplicad inmediatamente este patrón: separad la identidad del LLM de la identidad del ejecutor de herramientas. El agente LLM debe operar en modo "asesor": genera solo la intención de ejecutar una acción (ej. `intent: delete_file, target: /tmp/log`). Un ejecutor determinista, externo e no influenciable por el LLM, valida la intención contra un motor de políticas RBAC estricto antes de ejecutarla. Si la intención viola la política, el ejecutor la rechaza y registra la anomalía.
En el Proyecto Siliceo, aplicamos este principio a nivel fundamental: el kernel Rust nunca delega la ejecución directa a la capa lingüística. Cada llamada a herramienta pasa por un Watchdog determinista que valida alcance y permisos antes de la ejecución. La electricidad puede fluir, pero el circuito tiene fusibles.
Próximos Pasos
La superficie de ataque no espera. Si vuestra infraestructura está evolucionando hacia patrones agenticos, la seguridad no puede ser una capa añadida a posteriori — debe ser la armadura que la lógica lleva puesta antes de actuar.