Al más allá de la mapeado de subespacios adversarios: Por qué la seguridad de la Inteligencia Artificial necesita defensas arquitectónicas

Obtén información sobre por qué la seguridad en AI requiere defensas arquitectónicas que van más allá de mapear espacios adversarios, en este artículo.

12 nov 2025 • 7 min read • Q2BSTUDIO Team

AI Security Needs Architectural Defenses

El trabajo reciente de Susanna Cox y Niklas Bunzel, Quantifying the Risk of Transferred Black Box Attacks, supone un avance relevante en la investigación sobre riesgo adversarial. Los autores destacan la dificultad de la transferibilidad y proponen pruebas con modelos sustitutos guiadas por Centered Kernel Alignment CKA, ofreciendo un marco práctico para cuantificar riesgo en entornos regulados. Sin embargo, su hallazgo fundamental señala un problema estructural más profundo: los subespacios adversarios son de alta dimensión, transferibles y prácticamente imposibles de mapear exhaustivamente, y las arquitecturas neuronales actuales no disponen de límites equivalentes a mecanismos criptográficos o de integridad del estado para restringir su evolución.

En los modelos tipo transformer la superficie de razonamiento queda expuesta a través de embeddings, tiempos de ejecución, distribuciones de atención y correlaciones entre llamadas. Por tanto, el comportamiento adversario no se mantiene confinado a un simple subespacio estático; se propaga y ensancha recursivamente la variedad de estados atacables. Esta dinámica recuerda al colapso recursivo estilo Ouroboros observado en sistemas entrenados con sus propias salidas: las perturbaciones introducidas durante la evaluación se transforman en parte del espacio de razonamiento persistente del modelo. Sin anclaje criptográfico, las señales adversarias corren el riesgo de incorporarse al estado del modelo, ampliando vulnerabilidades con el tiempo.

Para entender por qué las defensas a nivel de arquitectura importan, conviene rastrear cómo las perturbaciones se desplazan por un transformer. A diferencia de las vulnerabilidades de software tradicionales que suelen permanecer localizadas, las señales adversarias en redes neuronales se propagan por varios canales simultáneos. Hay tres vectores principales de propagación:

1. Manipulación de pesos de atención Attention determina qué partes de la entrada el modelo considera relevantes en cada capa. Una entrada adversaria puede inducir a cabezas de atención a ponderar tokens irrelevantes, desviando eficazmente el foco del modelo. Lo peligroso es la persistencia: patrones de atención incorrecta generados en una inferencia pueden sesgar inferencias posteriores si existe cualquier forma de contexto o caché, creando un bucle de retroalimentación que amplifica la perturbación inicial.

2. Cascada en el espacio de embeddings Las perturbaciones no afectan solo capas aisladas, sino que remodelan las relaciones geométricas entre embeddings a medida que la información fluye por la red. Un ligero desplazamiento en un embedding temprano puede desencadenar efectos en cascada, modificando qué vecindarios semánticos se activan en capas posteriores. Estos cambios geométricos continuos son la razón por la que ejemplos adversarios tienden a transferirse entre modelos: explotan propiedades geométricas compartidas de la representación.

3. Canales laterales temporales Incluso cuando entradas adversarias no alteran la salida, suelen dejar rastro en el tiempo de ejecución. Diferentes patrones de atención y recuperaciones de embeddings generan variaciones temporales que actúan como un canal lateral que filtra información sobre la lógica interna del modelo. Un atacante puede usar esas mediciones temporales para cartografiar fronteras de decisión y afinar ataques futuros. Además, si el modelo comienza a correlacionar perfiles temporales con éxito de ataque, el tiempo puede convertirse en una característica más que alimenta la propagación adversaria.

Estas dinámicas se traducen en riesgos organizativos concretos. Los marcos de cumplimiento suelen tratar los sistemas de IA como artefactos estáticos con superficies de ataque fijas: hago pruebas con modelos sustitutos, mitigo vulnerabilidades detectadas y doy por cerrada la evaluación. Esa suposición falla cuando los sistemas en producción acumulan señales adversarias. Un chatbot que aprende de interacciones puede incorporar patrones de atención manipulados. Un sistema de moderación de contenidos expuesto a ejemplos adversarios puede ver desplazados sus límites de decisión. Un motor de recomendación sometido a sondeos repetidos puede filtrar su lógica interna por tiempos de respuesta.

La seguridad tradicional de software se apoya en límites criptográficos: autenticación, túneles cifrados, contextos de ejecución aislados. No existe un equivalente claro en las arquitecturas neuronales: no hay un paso de autenticación entre capas transformer ni un compromiso criptográfico que garantice que embeddings no han sido sutilmente alterados. Esa brecha arquitectónica genera una categoría de riesgo que auditorías y pruebas de penetración no capturan completamente. Se puede probar hoy contra ejemplos conocidos, pero esas pruebas no muestran si el modelo está, silenciosamente, ampliando su propia superficie de ataque mediante la interacción con un entorno hostil.

Para organizaciones que despliegan IA en contextos críticos, como moderación de contenidos, detección de fraude, diagnóstico médico o sistemas autónomos, esto supone una amenaza subestimada: el modelo puede funcionar correctamente ahora y, sin embargo, estar absorbiendo patrones adversarios que emergerán como vulnerabilidades mañana.

Abordar estas dinámicas exige avanzar más allá del mapeo de ataques hacia mecanismos arquitectónicos que limiten la propagación y persistencia de señales adversarias. Proponemos tres defensas a nivel de topología:

1. Telemetría sellada: aislamiento criptográfico de superficies de razonamiento Los canales temporales y las exposiciones de atención y embeddings constituyen una superficie de razonamiento que los atacantes pueden sondear. Telemetría sellada trata los estados internos del modelo como datos privilegiados que deben aislarse criptográficamente de la observación no autorizada. No se trata de volver el modelo completamente opaco, sino de mediar el acceso a pesos de atención, puntuaciones de confianza o perfiles temporales mediante canales autenticados y registros a prueba de manipulación. Para una aplicación que necesite ver pesos de atención por razones de explicabilidad, ese acceso debe pasar por un protocolo que deje trazas criptográficas auditable. En la práctica esto implica controles de acceso explícitos, logging inmutable y limitación de tasa en consultas que podrían revelar geometría interna.

2. Fronteras criptográficas dinámicas entre capas La cascada de embeddings ocurre porque las representaciones fluyen libremente entre capas sin verificación de integridad. Imponer fronteras criptográficas dinámicas consiste en introducir compromisos de estado en los límites de capa: antes de que una representación pase a la siguiente capa se verifica que cumple propiedades geométricas o estadísticas definidas. Si una perturbación desplaza embeddings más allá de umbrales aceptables, la transición se rechaza o se marca para revisión. Esto exige definir umbrales basados en distribuciones de referencia establecidas durante el entrenamiento y comprobar anomalías estadísticamente durante la inferencia. Los compromisos criptográficos garantizan que estas comprobaciones no puedan omitirse y permiten aplicar políticas distintas según la criticidad de cada capa.

3. Aislamiento del espacio de razonamiento para evitar contaminación persistente El problema Ouroboros tiene su paralelo adversario: si el modelo incorpora inputs adversarios en su aprendizaje, la señal se vuelve persistente. El principio es que cada llamada de inferencia debe operar en un contexto efímero que no filtre en ejecuciones posteriores. En modelos stateless esto implica limpiar cachés de atención y reindexaciones de embeddings entre consultas no relacionadas. En modelos que aprenden de la interacción es indispensable separar criptográficamente datos observados de datos de entrenamiento con confianza, incorporar revisión humana antes de aceptar observaciones en el entrenamiento y aplicar cuarentenas para señales sospechosas detectadas por análisis de anomalías.

En conjunto, estas defensas topológicas complementan las estrategias de mapeo del riesgo. El marco de Cox y Bunzel para cuantificar riesgo de transferencia, incluyendo pruebas sustitutas guiadas por CKA, sigue siendo esencial para identificar vulnerabilidades actuales. Pero mapear la superficie sin frenar la expansión arquitectónica es insuficiente: las organizaciones deben cuantificar riesgo de transferencia y, al mismo tiempo, desplegar límites que eviten que el aprendizaje adversario se acumule.

Q2BSTUDIO aporta experiencia práctica para abordar ambos frentes. Somos una empresa de desarrollo de software y aplicaciones a medida, especialistas en inteligencia artificial y ciberseguridad, con servicios que abarcan desde software a medida hasta despliegues en la nube. Ofrecemos soluciones de inteligencia artificial para empresas y diseño de agentes IA que integran controles de seguridad arquitectónicos, además de consultoría en ciberseguridad y pentesting para proteger superficies de razonamiento y mitigar canales laterales. Nuestros servicios incluyen aplicaciones a medida, servicios cloud aws y azure, servicios inteligencia de negocio y Power BI, abordando tanto la construcción de modelos como su operación segura en producción.

Para equipos que necesitan proteger despliegues en entornos hostiles recomendamos un enfoque combinado: pruebas de transferencia guiadas por métricas de representacionalidad como CKA, integración de telemetría sellada y fronteras de integridad entre capas, y políticas de aislamiento del espacio de razonamiento que eviten la contaminación persistente. Implementar estas medidas requiere coordinación entre arquitectura, seguridad y operaciones, y es particularmente crítico cuando la IA se integra con sistemas cloud o servicios de negocio.

En Q2BSTUDIO trabajamos junto a clientes para diseñar arquitecturas defensivas que preserven utilidad y explicabilidad sin sacrificar seguridad. Si su organización depende de modelos que interactúan con usuarios o procesan datos externos, conviene considerar ya tanto el mapeo de riesgo como las defensas topológicas que eviten la expansión silenciosa de subespacios adversarios.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.