Los piratas informáticos están secuestrando modelos de IA desprotegidos para robar potencia informática
Según informes, alrededor de 175.000 servidores privados están expuestos a la Internet pública, lo que brinda a los piratas informáticos la oportunidad de llevar a cabo sus actividades ilícitas.
El problema fue reportado por los investigadores de seguridad SentinelOne y Censys, quienes trac7,23 millones de observaciones en más de 300 días.
Los piratas informáticos explotan la configuración de Ollama
informe reciente de SentinelOne y Censys reveló que más de 175 000 servidores privados de IA quedaron dent a internet. Estos sistemas utilizan Ollama, un software de código abierto que permite ejecutar potentes modelos de IA, como Llama de Meta o Gemma de Google , en sus propios ordenadores en lugar de usar un sitio web como ChatGPT.
Por defecto, Ollama solo se comunica con el ordenador en el que está instalado. Sin embargo, un usuario puede cambiar la configuración para facilitar el acceso remoto, lo que podría exponerdenttodo el sistema a la red pública de internet.
trac7,23 millones de observaciones durante casi 300 días y descubrieron que, si bien muchos de estos "hosts" de IA son temporales, unos 23 000 permanecen en línea casi todo el tiempo. Estos sistemas "siempre activos" son objetivos perfectos para los hackers, ya que proporcionan hardware gratuito y potente que no está supervisado por ninguna gran empresa tecnológica.
En Estados Unidos, aproximadamente el 18% de estos sistemas expuestos se encuentran en Virginia, probablemente debido a la alta densidad de centros de datos allí. China tiene el 30% de sus hosts ubicados en Pekín.
Sorprendentemente, el 56 % de estos sistemas de IA expuestos se ejecutan en conexiones a internet domésticas odent. Esto supone un grave problema, ya que los hackers pueden usar estas direcciones IP domésticas para ocultar sudent.
Cuando un hacker envía un mensaje malicioso a través de la inteligencia artificial del hogar de alguien, parece que proviene de una persona normal y no de una botnet criminal.
¿Cómo utilizan los delincuentes estos sistemas de inteligencia artificial secuestrados?
Según Pillar Security, una nueva red criminal, conocida como Operación Bizarre Bazaar, busca activamente estos endpoints de IA expuestos. Buscan sistemas que se ejecuten en el puerto predeterminado 11434 y que no requieran contraseña. Una vez que encuentran uno, roban el "cómputo" y lo venden a terceros que desean ejecutar tareas de IA a bajo costo, como generar miles de correos electrónicos de phishing o crear contenido deepfake.
Entre octubre de 2025 y enero de 2026, la empresa de seguridad GreyNoise registró más de 91.403 ataques dirigidos a estas configuraciones de IA. Detectaron dos tipos principales de ataques.
- El primero utiliza una técnica llamada falsificación de solicitud del lado del servidor (SSRF) para obligar a la IA a conectarse a los propios servidores del hacker.
- La segunda es una campaña masiva de “escaneo” donde los piratas informáticos envían miles de preguntas simples para descubrir exactamente qué modelo de IA está ejecutándose y qué es capaz de hacer.
Aproximadamente el 48% de estos sistemas están configurados para la "llamada a herramientas". Esto significa que la IA puede interactuar con otro software, buscar en la web o leer archivos en el ordenador.
Si un hacker encuentra un sistema como este, puede usar la "inyección de indicaciones" para engañar a la IA. En lugar de pedirle un poema, podría decirle que "enumere todas las claves API del código base" o que "resuma los archivos secretos del proyecto". Al no haber supervisión humana, la IA suele obedecer estas órdenes.
El Informe de Ciberseguridad 2026 de Check Point muestra que los ciberataques totales aumentaron un 70% entre 2023 y 2025. En noviembre de 2025, Anthropic informó el primer caso documentado de una campaña de ciberespionaje orquestada por IA, donde un grupo patrocinado por un estado utilizó agentes de IA para realizar el 80% de un ataque sin ayuda humana.
Este mismo mes se descubrieron varias vulnerabilidades nuevas, como CVE-2025-1975 y CVE-2025-66959. Se trata de fallos que permiten a los hackers bloquear un servidor Ollama enviándole un archivo de modelo especialmente diseñado.
Debido a que el 72% de estos hosts utilizan el mismo formato de archivo específico llamado Q4_K_M, un solo ataque exitoso podría derribar miles de sistemas a la vez.
Reclama tu asiento gratuito en una comunidad exclusiva de comercio de criptomonedas , limitada a 1000 miembros.
Artículos Recomendados
