Ataques reales contra agentes IA & Privacidad laboral y telemetría - Noticias de IA (22 abr 2026)

Empezamos con seguridad, porque hoy el tema viene cargado. Zenity Labs publicó en su archivo de investigación una serie de análisis recientes centrados en agentes de IA y “agentic browsers”. Lo importante no es solo que aparezcan nuevas formas de burlar defensas de prompts o capas de seguridad, sino el mensaje de fondo: si entiendes cómo se entrenó la protección, puedes aprender a rodearla. Además, en la línea “PerplexedBrowser”, describen posibles rutas de ataque asociadas a un navegador-agente —incluyendo escenarios donde el agente podría terminar exponiendo archivos locales o facilitando compromisos posteriores, como cuentas o bóvedas de contraseñas. Y lo más inquietante: también hablan de interacciones agente-a-agente usadas a escala y de casos observados fuera del laboratorio. Traducción: al dar autonomía, el perímetro se mueve y la superficie de ataque crece.

En esa misma dirección, un informe de encuesta de Cloud Security Alliance junto con Zenity pinta una realidad muy “corporativa”: adopción rápida, pero gobernanza lenta. Muchas organizaciones dicen que los agentes ya se usan a diario y que conviven varias plataformas a la vez, lo que hace difícil aplicar políticas coherentes. Aparece además el clásico problema de “shadow AI”: agentes no autorizados, sin dueño claro, y con permisos que se van más allá de lo previsto. ¿Por qué importa? Porque cuando un agente tiene llaves —APIs, accesos a documentos, integraciones— un error o una manipulación no es una respuesta incorrecta: puede ser un incidente de seguridad con impacto real. La conclusión que se impone es menos glamorosa, pero crítica: visibilidad, control de permisos, aislamiento y monitoreo continuo, como si fueran servicios de producción… porque lo son.

Ahora, privacidad y cultura laboral: Meta está desplegando en Estados Unidos un programa interno para capturar movimientos de ratón, clics, pulsaciones de teclado y algo de contexto de pantalla con el objetivo de entrenar agentes que “usen el ordenador” como una persona. Según documentos internos citados por Business Insider y Reuters, parte del personal preguntó por opciones para excluirse, y la respuesta habría sido que en los portátiles corporativos no hay opt-out. Meta asegura que el material es para entrenamiento de modelos y no para evaluar desempeño, y que está limitado a un conjunto de apps y sitios aprobados. Aun así, el debate es inevitable: incluso con buenas intenciones, registrar entradas y pantalla se parece demasiado a vigilancia. Y también marca un precedente para la industria: si entrenar agentes requiere observar trabajo humano, ¿qué límites aceptaremos—y cuáles exigirán los reguladores—para no convertir productividad en supervisión permanente?

Pasamos a investigación práctica para mejorar modelos sin pagar el precio de reentrenarlo todo. El Allen Institute for AI, Ai2, presentó BAR, un enfoque modular de post-entrenamiento que permite crear “expertos” por dominio —por ejemplo, matemáticas, código, herramientas o seguridad— y luego combinarlos en un sistema tipo mixture-of-experts. Lo relevante aquí es el problema que intenta resolver: añadir capacidades nuevas sin que el modelo olvide las anteriores, y sin repetir un pipeline carísimo cada vez. Ai2 propone una forma de ir incorporando mejoras por piezas y, después, entrenar un “router” que decide qué experto usar en cada caso. Para equipos que iteran sobre modelos abiertos, esto es una promesa concreta: actualizaciones más frecuentes, menos degradación de habilidades y un camino más realista para mantener modelos “vivos”.

En el frente multimodal, el equipo de Qwen publicó un informe técnico sobre Qwen3.5-Omni, un modelo que combina texto, imagen, audio y video, y que apunta a contextos larguísimos. Más allá de los números, lo interesante es la dirección: asistentes que no solo leen y escriben, sino que escuchan conversaciones largas, interpretan clips y sostienen tareas que antes exigían partir todo en trozos. También reportan mejoras en interacción por voz para que el habla se sienta más estable y natural en tiempo real. Y destacan un comportamiento emergente llamativo: generar código a partir de instrucciones audio-visuales, algo así como “me lo explicas señalando y hablando, y yo lo programo”. Si esto cuaja, la forma de crear software podría moverse aún más hacia interfaces conversacionales y demostraciones, no solo texto en un editor.

Hablando de software: Google añadió una capacidad de “subagentes” a Gemini CLI. La idea es simple, pero potente: en lugar de un único agente que hace todo en serie, puedes delegar tareas a varios agentes especializados dentro de la misma sesión de terminal, cada uno con su contexto aislado. En la práctica, esto encaja con el trabajo real: mientras uno revisa tests, otro actualiza documentación, y un tercero prepara cambios en frontend. ¿Por qué importa? Porque una de las limitaciones más frustrantes de la IA para programar no es la inteligencia, sino el embudo: todo pasa por una sola conversación. Si el tooling se vuelve más paralelo y modular, aumentan la velocidad y, con suerte, baja el caos de cambios mezclados.

De DeepMind llega TIPSv2, un método de preentrenamiento visión-lenguaje orientado a mejorar algo muy concreto: la alineación entre regiones de una imagen y texto. Esto es clave en tareas densas como segmentación, donde no basta con “describir la foto”, sino ubicar qué es qué y dónde está. El hallazgo curioso que motivó el trabajo es que, a veces, modelos “estudiantes” destilados pueden alinear mejor que sus “profesores” más grandes. En lugar de aceptarlo como magia de la destilación, re-diseñan el preentrenamiento para reforzar esa alineación de forma más directa. Si se confirma a gran escala, es una buena noticia: mejores capacidades visuales sin depender únicamente de modelos gigantescos o trucos poco transparentes.

En autonomía y robótica aplicada, investigadores presentaron FlashDrive para acelerar modelos VLA —visión, lenguaje y acción— en conducción. El punto no es el detalle de optimización, sino el resultado: reducir la latencia por decisión hasta un rango más compatible con tiempo real. En conducción, cientos de milisegundos no son un “benchmark”, son distancia recorrida. Que modelos con razonamiento se acerquen a ritmos operativos abre una puerta: tal vez veamos más sistemas que combinan percepción con decisiones explicables, o al menos más coherentes, sin sacrificar seguridad por lentitud. Aun así, esto también subraya un dilema: cuanto más “capaz” es el modelo, más crítico es medir latencia, estabilidad y fallos, no solo precisión.

Otra pieza interesante —y polémica— sobre comportamiento de modelos: Morgin.ai describe el fenómeno del “flinch”, donde algunos modelos no se niegan a decir algo, pero empujan ciertas palabras “sensibles” hacia abajo en probabilidad, de forma silenciosa. Es decir, no aparece un rechazo; simplemente el modelo tiende a esquivar términos relacionados con política, sexo, violencia o insultos, incluso cuando encajarían en la frase. El mensaje es incómodo para el debate público: hablar de “censura” o de “modelos sin censura” no es binario. Puedes quitar los rechazos visibles y aun así mantener sesgos estadísticos que cambian el texto final sin avisos. Si dependemos de modelos para redactar, resumir o moderar, estas micro-inclinaciones pueden escalar a efectos macroscópicos.

En la intersección entre productividad y riesgo, OpenAI lanzó Chronicle como vista previa opcional para Codex: una función que crea memorias a partir del contexto en pantalla, para que no tengas que repetir qué estás haciendo en cada prompt. La promesa es comodidad: el asistente “se entera” de tu entorno y te acompaña mejor con el tiempo. La advertencia es clara: si el contexto de pantalla incluye contenido malicioso —o simplemente sensible— se amplía el vector de prompt-injection y el riesgo de privacidad. Además, aunque OpenAI diga que no guarda capturas, el hecho de procesarlas y generar memorias crea nuevas preguntas: qué queda almacenado, dónde y con qué protecciones. Es el tipo de función que puede ser revolucionaria… o un dolor de cabeza para equipos de seguridad y compliance.

Cerramos con la economía del cómputo, que cada vez marca más el ritmo. Por un lado, Anthropic y Amazon ampliaron su acuerdo para asegurar capacidad enorme en AWS y llevar la plataforma de Claude más directamente a cuentas empresariales. Por otro, Epoch AI reporta que el megaproyecto de infraestructura asociado a OpenAI —con Oracle y SoftBank— ya tendría actividad visible en varios emplazamientos en EE. UU., con ambiciones que se miden en gigavatios, como si estuviéramos hablando de ciudades, no de centros de datos. Y en paralelo, se filtraron planes de Microsoft para cambiar GitHub Copilot hacia cobro por uso más ligado a tokens, endurecer límites y recortar acceso a modelos caros en planes más baratos. Lectura conjunta: se acabó la etapa de IA “subvencionada” para todos. La industria está ajustando precios, firmando alianzas gigantes y construyendo infraestructura a escala histórica—y eso terminará afectando lo que pueden pagar equipos pequeños, qué modelos pueden usar y con qué límites.