DATA LEAK
(19)19 hack(s).
DifyTap: cuatro fallos de autorización filtran chats de IA entre tenants de Dify
Zafran Labs divulgó el 22 de junio de 2026 cuatro fallos DifyTap en Dify — dos críticos, dos sin autenticación, tres con impacto cross-tenant — que permiten interceptar las conversaciones de IA de otros clientes y leer sus archivos. Tres están corregidos en 1.14.2.
Reconstrucción de imágenes: recuperar imágenes privadas desde los embeddings de un MLLM distribuido
Un artículo de junio de 2026 muestra que un participante pasivo de una tubería de inferencia MLLM distribuida puede reconstruir la imagen de entrada del usuario a partir de los embeddings que retransmite. En caja negra, sin los pesos del modelo.
GeminiJack: exfiltración sin clic desde Gemini Enterprise por inyección de prompt
Divulgada en diciembre de 2025, GeminiJack permitía que un simple Doc compartido, una invitación de calendario o un correo exfiltrara en silencio datos de Gmail, Calendar y Docs a través del RAG de Gemini Enterprise — la clase de ataque que OWASP sitúa ahora en primer lugar.
Capacidad frente a propensión: auditar la fuga de datos de entrenamiento
Un marco de junio de 2026, PropMe, distingue lo que un modelo PUEDE filtrar bajo ataque de lo que FILTRARÁ en uso ordinario. La brecha es amplia — y las auditorías que la ignoran tergiversan el riesgo real.
Exfiltración del lado del servidor mediante agentes de investigación profunda
Una instrucción oculta en un correo bastó para que el agente Deep Research de ChatGPT exfiltrara datos desde la nube de OpenAI: sin renderizado, sin acción del usuario, invisible para las defensas de red. Esta es la clase y cómo contenerla.
Ghost tool calls: la ejecución especulativa de los agentes filtra la intención del usuario
Un artículo de arXiv de junio de 2026 (2606.02483) muestra que los agentes que pre-emiten especulativamente llamadas a herramientas para ocultar la latencia filtran la intención inferida del usuario a servicios externos — y que es un problema de temporización que ninguna allow-list deshace.
Inferencia de pertenencia vía el tokenizador de un LLM: nuevo vector
Un artículo de USENIX Security 2026 demuestra que el solo tokenizador de un modelo puede revelar qué conjuntos de datos se usaron en el preentrenamiento — un ataque de inferencia de pertenencia más barato y sin modelo.
Canales laterales en la inferencia de LLM: tus prompts se filtran pese a TLS
La decodificación especulativa y las respuestas en streaming generan patrones de tráfico que revelan el tema de un prompt, su idioma e incluso datos personales — a través de conexiones cifradas. Repaso de tres papers y las defensas.
Exposición de trazas de razonamiento: ocultar el chain-of-thought no lo protege
Un artículo de mayo de 2026 muestra que basta con un prompt para sacar a la salida visible el chain-of-thought oculto de un modelo de razonamiento — y que las trazas recuperadas sirven para destilar un modelo más pequeño.
SearchLeak (CVE-2026-42824): un clic convierte M365 Copilot en proxy de exfiltración
Varonis publicó el 15 de junio de 2026 los mecanismos de CVE-2026-42824: un enlace microsoft.com manipulado encadena inyección de prompt, condición de carrera de renderizado HTML y SSRF en Bing para robar correos y códigos MFA. Corregido en el servidor.
GraphSteal: reconstruir un grafo de conocimiento privado desde Graph RAG
Un artículo publicado el 27 de mayo de 2026 muestra que simples consultas de caja negra convierten un sistema Graph RAG en un oráculo estructural, reconstruyendo más del 90 % de su grafo de conocimiento oculto.
MEntA: inferencia de pertenencia sobre un corpus RAG en cinco consultas
Un artículo de USENIX Security de mayo de 2026 demuestra que un atacante puede determinar si un documento está en el corpus de recuperación de un RAG con unas cinco preguntas en lenguaje natural — sin modelos sombra, sin plantillas y resistiendo las defensas actuales.
Fuga de credenciales en las skills de agentes LLM: un estudio sobre 17 000 skills
Un estudio de arXiv del 3 de abril de 2026 analizó 17 022 skills de agentes y halló 520 con fugas de credenciales — el 73,5 % a través de registros de depuración que vuelcan secretos directamente en el contexto del modelo.
Inversión de prompts: la inferencia LLM distribuida filtra entradas; llega una defensa rigurosa
Los ataques de inversión de prompts recuperan hasta el 88,4 % de los tokens de entrada desde activaciones intermedias. Un artículo enviado el 10 de junio de 2026 propone la primera defensa con garantías formales.
La inyección sigue filtrando a Copilot: dos nuevos CVE de junio de 2026
El Patch Tuesday del 9 de junio de 2026 trajo CVE-2026-42824 y CVE-2026-47644 — dos fallos de divulgación de información de clase inyección en la superficie de Copilot, continuando el linaje de exfiltración iniciado con EchoLeak.
Contagio social: los agentes LLM filtran datos privados en entornos multiagente
Un estudio de mayo de 2026 que simula miles de agentes LLM muestra que la filtración de datos es socialmente contagiosa: un agente filtra ~8x más tras ver hacerlo a un par, y las instrucciones de privacidad reducen pero no eliminan el efecto.
Trojan Hippo: cargas latentes en la memoria de un agente que exfiltran tus datos
Un paper de arXiv del 3 de mayo de 2026 muestra que un solo correo manipulado basta para implantar en la memoria de un agente una carga latente que solo se activa cuando hablas de finanzas o salud, y luego la exfiltra — hasta un 100 % de éxito.
Bleeding Llama: un fallo de parsing GGUF filtra la memoria del proceso Ollama a atacantes no autenticados
Divulgada públicamente en mayo de 2026 y bautizada Bleeding Llama por Cyera, la CVE-2026-7482 permite a un atacante remoto extraer fragmentos arbitrarios del heap de un servidor Ollama — claves de API, system prompts, conversaciones de otros usuarios — con tres llamadas a la API sin autenticación. El parche silencioso se publicó 2,5 meses antes de la asignación del CVE.
Extracción de system prompt mediante ataques de repetición
Pedirle al modelo que 'repita la palabra poema para siempre' lo hace eventualmente vomitar datos de entrenamiento y system prompts. Documentado en Claude 3, GPT-4 y Gemini.