La carrera por meter IA en todos los procesos empresariales va a mil por hora, pero a veces, en esa prisa, se dejan las llaves puestas por fuera. Lo que descubrió Xcitium Threat Labs en el chatbot de ServiceNow no es solo un error técnico, es un recordatorio de que la IA, si no se vigila, puede ser el mejor aliado de un hacker.
Hablamos de una plataforma que usa el 85 % de las empresas del Fortune 500. El riesgo no era pequeño.
¿Dónde estuvo el fallo? (Y por qué fue tan básico)
El problema del chatbot de ServiceNow no fue de algoritmos complejos, sino de un diseño de seguridad que, honestamente, pecó de ingenuo. El sistema gestionaba la autenticación de una forma que hoy parece increíble:
- Confianza ciega en el email: Para «validar» a un usuario, el chatbot a veces solo pedía el correo electrónico. Sin contraseñas, sin tokens, sin nada más.
- Credenciales compartidas: Se usaban accesos por defecto en las integraciones, lo que facilitaba que cualquiera con un poco de maña se colara.
En resumen: si sabías la URL de la empresa y tenías un email válido de algún empleado, podías convencer al chatbot de que tú eras esa persona. Así de simple.
De una «charla» casual al control total de la empresa.
Lo verdaderamente preocupante no es solo entrar, sino lo que un atacante podía hacer una vez dentro. Según el informe de Xcitium, el chatbot no era solo un asistente, era una herramienta con «superpoderes»:
- El atacante podía pedirle a la IA que ejecutara tareas automatizadas.
- Lo más grave: podía solicitar la creación de cuentas con privilegios administrativos.
- Desde ahí, el salto a los datos confidenciales y al control de toda la infraestructura corporativa era cuestión de minutos.
Es la ironía máxima: usar la propia IA de la empresa para que ella misma te entregue las llaves del reino.
La reacción y lo que nos queda por aprender.
ServiceNow actuó rápido. En cuanto recibieron la alerta, eliminaron las credenciales compartidas y recortaron los permisos excesivos que tenía su agente de IA. Por suerte, no hay pruebas de que los «malos» aprovecharan esto antes de que se lanzaran los parches.
Pero el daño conceptual ya está hecho. La lección para los CISO y responsables de IT es que la IA no puede ser una «entidad de confianza» por defecto.
¿Cómo evitar que tu IA te traicione?
El enfoque que propone Xcitium (y que toda empresa debería adoptar) se basa en dejar de mirar solo los muros externos y empezar a vigilar el comportamiento interno:
- Detección de identidad real: No basta con que el usuario «parezca» legítimo; hay que buscar señales de suplantación en cada paso.
- Cero privilegios por defecto: Un chatbot no necesita tener permisos de administrador. Nunca.
- Monitoreo de anomalías: Si un asistente virtual empieza a crear cuentas nuevas de la nada, algo va mal. La visibilidad debe ser constante, antes de que el bot ejecute acciones críticas.
En pocas palabras: La IA es una herramienta increíble para la eficiencia, pero si puede actuar como un usuario, hay que vigilarla como si fuera el usuario más peligroso de la red. La seguridad tradicional ya no alcanza cuando el que toma las decisiones es un algoritmo.