Casi 1 millón de servicios de IA expuestos: el problema ya no es el modelo, es la infraestructura

Lo que reveló Intruder no fue un ataque único ni una intrusión aislada, sino algo más incómodo: una radiografía de cuánta infraestructura de IA está saliendo a internet sin las defensas mínimas. La investigación, publicada por The Hacker News, parte de un escaneo amplio apoyado en certificados de transparencia y terminó identificando poco más de 2 millones de hosts y alrededor de 1 millón de servicios expuestos relacionados con sistemas de inteligencia artificial.

La cifra importa porque cambia el enfoque del debate. Ya no se trata solo de si un modelo es potente, útil o peligroso. El problema ahora también está en la capa que lo rodea: chatbots, paneles de administración, APIs, flujos automatizados y herramientas de orquestación que fueron desplegadas como si estuvieran en una red privada, cuando en realidad estaban accesibles desde internet.

Según la investigación, una parte importante de esas instalaciones venía con un patrón repetido: la autenticación no estaba habilitada por defecto. Eso significa que muchos equipos levantaron servicios "listos para usar", pero no listos para estar expuestos públicamente. En seguridad, esa diferencia lo es todo. Un bot sin login, un panel administrativo sin control de acceso o una API abierta convierten la infraestructura en una puerta giratoria para cualquiera que la encuentre.

Entre los hallazgos más delicados hay varios ejemplos concretos. Se detectaron chatbots que dejaban expuestos historiales completos de conversación, incluyendo casos basados en OpenUI. También aparecieron instancias con conversaciones sensibles, incluidos bots NSFW, junto con API keys en texto plano, una falla que por sí sola puede abrir la puerta a compromisos más amplios.

El reporte también menciona instancias de Flowise y n8n accesibles sin autenticación, algo especialmente preocupante porque esas plataformas no solo conectan modelos, sino también sistemas internos, credenciales y flujos de negocio. En uno de los casos, una instancia de Flowise exponía la lógica completa de un chatbot empresarial; en otro, se desplegaban herramientas con funciones potencialmente peligrosas como escritura de archivos o ejecución de código del lado del servidor.

Ahí está el verdadero riesgo: cuando un bot está conectado a servicios externos, bases de datos o sistemas internos, el problema deja de ser “solo una conversación”. Un atacante podría modificar workflows, redirigir tráfico, extraer información o envenenar respuestas. Y si la herramienta no separa bien permisos y credenciales, el acceso al bot puede terminar siendo acceso a todo lo que toca.

La investigación reporta además más de 90 instancias expuestas en sectores como gobierno, marketing y finanzas. No es una rareza de laboratorio ni un caso aislado de startups apuradas; es un problema transversal que atraviesa industrias enteras. En paralelo, Intruder encontró más de 5,200 servidores Ollama con modelos conectados públicamente, y en una prueba básica, 31% respondió sin pedir autenticación.

Eso deja una conclusión bastante dura: la adopción de IA está avanzando más rápido que las prácticas de higiene de seguridad. Y esa brecha es donde aparecen los incidentes. Hoy el gran riesgo no es únicamente que un modelo se equivoque; también es que alguien lo deje abierto, con llaves visibles, sin control de acceso y conectado a sistemas que nunca debieron quedar expuestos.

La lección es clara. Si una empresa va a desplegar IA, tiene que tratarla como infraestructura crítica: autenticación fuerte, revisión de exposición, monitoreo, segmentación de permisos y auditorías continuas. Porque en esta etapa, el fallo más común quizá no esté en el modelo mismo, sino en lo fácil que es dejarlo desnudo en internet.