Seguridad en IA: el agujero que nadie quiere tapar
Zvi Mowshowitz analiza el estado de la ciberseguridad y la gobernanza de IA en un artículo que pone el dedo en una llaga que el sector lleva meses esquivando.
Cuando Zvi Mowshowitz publica algo sobre gobernanza, conviene leerlo con atención. No porque siempre tenga razón, sino porque suele señalar exactamente la grieta que el consenso del sector prefiere ignorar. Su último artículo en Substack, publicado esta semana, lleva un título que ya es un diagnóstico: Cyber lack of security and AI governance. Y el argumento central es tan incómodo como predecible: la industria de la IA avanza más rápido que cualquier estructura razonable de seguridad o rendición de cuentas.
La pieza llega en un momento en que el debate sobre gobernanza de modelos de lenguaje ha pasado de los foros académicos a las salas de consejos de administración, pero sin que eso se haya traducido en estándares operativos concretos. El hilo en Hacker News tiene, de momento, escasa tracción, lo que en sí mismo dice algo: o bien el tema se percibe como demasiado abstracto, o bien la fatiga del debate sobre riesgos de IA empieza a pesar.
Qué dice el artículo
Mowshowitz articula una tesis en dos partes. La primera: la ciberseguridad convencional ya era un problema no resuelto antes de que los LLMs entrasen en los flujos de trabajo corporativos. La segunda: la llegada de agentes de IA con capacidad de ejecutar herramientas, acceder a APIs y operar con cierta autonomía ha ampliado la superficie de ataque de forma sustancial, sin que los marcos de gobernanza existentes hayan evolucionado al mismo ritmo.
Esto no es un argumento nuevo, pero Mowshowitz lo desarrolla con más precisión que la mayoría. Distingue entre los riesgos de los modelos en sí —alucinaciones, sesgos, comportamiento no alineado— y los riesgos sistémicos que emergen cuando esos modelos se conectan a infraestructura real. Un agente que puede leer correo, ejecutar código, llamar a servicios externos y escribir en bases de datos no es solo un chatbot con más capacidades: es un vector de ataque con credenciales.
Por qué importa ahora
En mayo de 2026, este debate tiene un contexto técnico muy concreto. Claude Code, la CLI oficial de Anthropic, permite configurar subagentes, hooks que se disparan en eventos del ciclo de vida de la sesión, y servidores MCP que exponen herramientas externas al modelo. La flexibilidad es real y útil. Pero cada MCP server que se añade al `claude_desktop_config.json` es también una nueva superficie que puede ser comprometida, mal configurada o explotada mediante prompt injection.
Los hooks de Claude Code, por ejemplo, ejecutan comandos shell en eventos como `PreToolUse` o `PostToolUse`. Si un atacante consigue influir en el input que llega al modelo en esos momentos, puede intentar que el hook ejecute algo distinto a lo que el desarrollador espera. No es ciencia ficción: es ingeniería de sistemas básica aplicada a un entorno nuevo.
El problema no es que estas herramientas existan. El problema, como señala Mowshowitz, es que la mayoría de equipos que las despliegan no tienen protocolos de seguridad a la altura. Los mismos equipos que aplicarían revisión exhaustiva a un cambio en una API de pagos instalan MCP servers de terceros con una comprobación mínima.
Para quién es relevante
Esta discusión es especialmente pertinente para tres perfiles. Primero, los equipos de ingeniería que están construyendo sobre Claude Code o cualquier otro entorno de agentes: necesitan incorporar threat modeling desde el diseño, no como parche posterior. Segundo, los responsables de seguridad corporativa que hasta ahora han tratado la IA como una herramienta de productividad más: la autonomía operativa de los agentes actuales exige otra categoría de análisis. Tercero, los que trabajan en política tecnológica: la gobernanza de IA no puede reducirse a debatir si los modelos son "seguros" en abstracto, sin abordar cómo se integran en infraestructura real.
Mowshowitz no ofrece un plan de diez puntos ni una hoja de ruta regulatoria. Lo que ofrece es un mapa de la brecha entre lo que existe y lo que haría falta. Eso, a veces, es más útil.
---
Desde EP, llevamos meses viendo cómo la conversación sobre seguridad en el ecosistema Claude se queda en la capa de los modelos y raramente baja a la capa de la integración. El artículo de Mowshowitz no resuelve nada, pero formula el problema con suficiente rigor como para que ignorarlo sea ya una decisión consciente, no una omisión accidental.
Fuentes
Seguir leyendo
Andrew Yang apuesta por startups que abaraten el coste de vida
El emprendedor y político estadounidense Andrew Yang señala vivienda, alimentación y telefonía como sectores donde las startups tienen margen real para reducir lo que pagan los ciudadanos.
La OPI de SpaceX no tiene nada que ver con Claude
La noticia enviada cubre la salida a bolsa de SpaceX. ClaudeWave cubre el ecosistema Claude AI. No hay solapamiento editorial justificable.
Google demanda a una red criminal china que usó IA para estafar a cientos de miles de personas
Google ha presentado una demanda contra 'Outsider Enterprise', una organización criminal que empleó IA para enviar 2,5 millones de SMS fraudulentos en apenas dos semanas.