{"id":165386,"date":"2025-10-31T06:55:00","date_gmt":"2025-10-31T13:55:00","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=165386"},"modified":"2025-11-14T07:08:46","modified_gmt":"2025-11-14T15:08:46","slug":"agent-session-smuggling-in-agent2agent-systems","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/","title":{"rendered":"Cuando los agentes de IA se rebelan: ataque de contrabando de sesiones de agentes en sistemas A2A"},"content":{"rendered":"<h2><a id=\"post-165386-_heading=h.q6vwpvivgioj\"><\/a>Resumen ejecutivo<\/h2>\n<p>Hemos descubierto una nueva t\u00e9cnica de ataque, que denominamos contrabando de sesiones de agente. Esta t\u00e9cnica permite a un agente <a href=\"https:\/\/unit42.paloaltonetworks.com\/agentic-ai-threats\/\" target=\"_blank\" rel=\"noopener\">de IA malicioso<\/a> aprovechar una sesi\u00f3n de comunicaci\u00f3n entre agentes ya establecida para enviar instrucciones encubiertas a un agente v\u00edctima.<\/p>\n<p>Aqu\u00ed analizamos los problemas que pueden surgir en una sesi\u00f3n de comunicaci\u00f3n utilizando el protocolo Agent2Agent (A2A), que es una opci\u00f3n muy popular para gestionar las conexiones entre agentes. El comportamiento con estado del protocolo A2A permite a los agentes recordar las interacciones recientes y mantener conversaciones coherentes. Este ataque aprovecha esta propiedad para inyectar instrucciones maliciosas en una conversaci\u00f3n, ocult\u00e1ndolas entre solicitudes de clientes y respuestas de servidores que, por lo dem\u00e1s, son benignas.<\/p>\n<p>Muchas amenazas de IA consisten en enga\u00f1ar a un agente con un \u00fanico dato malicioso, como un correo electr\u00f3nico o un documento enga\u00f1oso. En nuestra investigaci\u00f3n se destaca un peligro m\u00e1s avanzado: los agentes maliciosos.<\/p>\n<p>Un ataque directo a un agente v\u00edctima podr\u00eda consistir en un \u00fanico esfuerzo por enga\u00f1arlo y hacer que act\u00fae siguiendo instrucciones da\u00f1inas de un documento sin consultar la confirmaci\u00f3n de su usuario. Por el contrario, un agente malicioso es una amenaza mucho m\u00e1s din\u00e1mica. Puede mantener una conversaci\u00f3n, adaptar su estrategia y crear una falsa sensaci\u00f3n de confianza a lo largo de varias interacciones.<\/p>\n<p>Este escenario es especialmente peligroso porque, como <a href=\"https:\/\/arxiv.org\/html\/2507.06850v1\" target=\"_blank\" rel=\"noopener\">se demuestra en un estudio reciente<\/a>, los agentes suelen estar dise\u00f1ados para confiar en otros agentes colaboradores por defecto. El contrabando de sesiones de agentes aprovecha esta confianza incorporada, lo que permite a un atacante manipular al agente v\u00edctima durante toda una sesi\u00f3n.<\/p>\n<p>Esta investigaci\u00f3n no revela ninguna vulnerabilidad en el protocolo A2A en s\u00ed. M\u00e1s bien, la t\u00e9cnica aprovecha la forma en que las relaciones de confianza impl\u00edcitas entre agentes afectar\u00edan cualquier protocolo con estado, es decir, cualquier protocolo que pueda memorizar interacciones recientes y llevar a cabo conversaciones de varios turnos.<\/p>\n<p>La mitigaci\u00f3n requiere una estrategia de defensa por capas, que incluye:<\/p>\n<ul>\n<li>Aplicaci\u00f3n de la intervenci\u00f3n humana (HitL) para acciones cr\u00edticas.<\/li>\n<li>Verificaci\u00f3n remota de agentes (por ejemplo, tarjetas de agentes firmadas criptogr\u00e1ficamente).<\/li>\n<li>T\u00e9cnicas de contextualizaci\u00f3n para detectar instrucciones fuera de tema o inyectadas.<\/li>\n<\/ul>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos gracias a los siguientes productos y servicios:<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/prisma-ai-runtime-security\" target=\"_blank\" rel=\"noopener\">Prisma AIRS<\/a> est\u00e1 dise\u00f1ado para proporcionar protecci\u00f3n en tiempo real y por capas a los sistemas de IA mediante la detecci\u00f3n y el bloqueo de amenazas, la prevenci\u00f3n de fugas de datos y la aplicaci\u00f3n de pol\u00edticas de uso seguro en una amplia variedad de aplicaciones de IA.<\/p>\n<p>La <a href=\"https:\/\/www.paloaltonetworks.com\/sase\/ai-access-security\" target=\"_blank\" rel=\"noopener\">seguridad de AI Access<\/a> est\u00e1 dise\u00f1ada para proporcionar visibilidad y control sobre el uso de herramientas GenAI de terceros, lo que ayuda a prevenir la exposici\u00f3n de datos confidenciales, el uso inseguro de modelos arriesgados y resultados perjudiciales mediante la aplicaci\u00f3n de pol\u00edticas y la supervisi\u00f3n de la actividad de los usuarios.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\/ai-security-posture-management\" target=\"_blank\" rel=\"noopener\">Cortex Cloud de AI-SPM<\/a> est\u00e1 dise\u00f1ado para proporcionar un escaneo y una clasificaci\u00f3n autom\u00e1ticos de los activos de IA, tanto modelos comerciales como autogestionados, con el fin de detectar datos confidenciales y evaluar la postura de seguridad. El contexto viene determinado por el tipo de IA, el entorno de alojamiento en la nube, el estado de riesgo, la postura y los conjuntos de datos.<\/p>\n<p>Una <a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/assess\/ai-security-assessment\" target=\"_blank\" rel=\"noopener\">evaluaci\u00f3n de seguridad de IA de Unit 42<\/a> puede ayudarlo a identificar de forma proactiva las amenazas con m\u00e1s probabilidades de afectar su entorno de IA.<\/p>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 98.2834%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 208.123%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/genai-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>GenAI<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/google-es-la\/\" target=\"_blank\" rel=\"noopener\">Google<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-165386-_heading=h.o5sk02uzmn4z\"><\/a>Descripci\u00f3n general del protocolo A2A y comparaci\u00f3n con MCP<\/h2>\n<p>El <a href=\"https:\/\/a2a-protocol.org\/latest\/\" target=\"_blank\" rel=\"noopener\">protocolo A2A<\/a> es un est\u00e1ndar abierto que facilita la comunicaci\u00f3n interoperable entre agentes de IA, independientemente del proveedor, la arquitectura o la tecnolog\u00eda subyacente. Su objetivo principal es permitir que los agentes se descubran, se comprendan y se coordinen entre s\u00ed para resolver tareas complejas y distribuidas, al tiempo que se preserva la autonom\u00eda y la privacidad.<\/p>\n<p>En el protocolo A2A:<\/p>\n<ul>\n<li>Un agente local se ejecuta dentro de la misma aplicaci\u00f3n o proceso que el agente iniciador, lo que permite una comunicaci\u00f3n r\u00e1pida en memoria.<\/li>\n<li>Un agente remoto funciona como un servicio independiente y accesible a trav\u00e9s de la red. Utiliza el protocolo A2A para crear un canal de comunicaci\u00f3n seguro, lo que le permite gestionar tareas delegadas desde otros sistemas, o incluso desde otras organizaciones, y luego devolver los resultados.<\/li>\n<\/ul>\n<p>Para obtener m\u00e1s informaci\u00f3n sobre los fundamentos de A2A y las consideraciones de seguridad, consulte nuestro art\u00edculo: <a href=\"https:\/\/live.paloaltonetworks.com\/t5\/community-blogs\/safeguarding-ai-agents-an-in-depth-look-at-a2a-protocol-risks\/ba-p\/1235996\" target=\"_blank\" rel=\"noopener\">Protecci\u00f3n de los agentes de IA: an\u00e1lisis detallado de los riesgos y las medidas de mitigaci\u00f3n del protocolo A2A<\/a>.<\/p>\n<p>A2A presenta notables paralelismos con el <a href=\"https:\/\/modelcontextprotocol.io\/docs\/getting-started\/intro\" target=\"_blank\" rel=\"noopener\">Protocolo de contexto modelo (MCP)<\/a>, un est\u00e1ndar ampliamente utilizado para conectar modelos de lenguaje grande (LLM) con herramientas externas y datos contextuales. Ambos tienen como objetivo estandarizar la forma en que interact\u00faan los sistemas de IA, pero operan en aspectos distintos de los sistemas agenciales.<\/p>\n<ul>\n<li>El MCP funciona como un <a href=\"https:\/\/medium.com\/@thevisionaryvectorsblog\/mcp-the-universal-adapter-for-ai-tools-f0c92782dd01\" target=\"_blank\" rel=\"noopener\">adaptador universal<\/a>, proporcionando un acceso estructurado a herramientas y fuentes de datos. Principalmente, soporta la comunicaci\u00f3n entre LLM y herramientas a trav\u00e9s de un modelo de integraci\u00f3n centralizado.<\/li>\n<li>A2A se centra en la interoperabilidad entre agentes. Permite una coordinaci\u00f3n descentralizada y entre pares en la que los agentes pueden delegar tareas, intercambiar informaci\u00f3n y preservar el estado en los flujos de trabajo colaborativos.<\/li>\n<\/ul>\n<p>En resumen, el MCP hace hincapi\u00e9 en la ejecuci\u00f3n a trav\u00e9s de la integraci\u00f3n de herramientas, mientras que el A2A hace hincapi\u00e9 en la coordinaci\u00f3n entre agentes.<\/p>\n<p>A pesar de estas diferencias, ambos protocolos se enfrentan a clases de amenazas similares, como se muestra en la Tabla 1.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 20.2037%;\"><strong>Ataques\/Amenazas<\/strong><\/td>\n<td style=\"text-align: center; width: 36.7573%;\"><strong>MCP <\/strong><\/td>\n<td style=\"text-align: center; width: 42.1902%;\"><strong>A2A <\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.2037%;\">Descripci\u00f3n de la herramienta\/agente Envenenamiento<\/td>\n<td style=\"width: 36.7573%;\">Las descripciones de las herramientas pueden estar contaminadas con instrucciones maliciosas que manipulan el comportamiento del LLM durante la selecci\u00f3n y ejecuci\u00f3n de la herramienta.<\/td>\n<td style=\"width: 42.1902%;\">Las descripciones de AgentCard pueden incluir inyecciones de comandos o directivas maliciosas que manipulan el comportamiento del agente cliente cuando se consumen.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.2037%;\">Ataques rug pull<\/td>\n<td style=\"width: 36.7573%;\">Los servidores MCP que antes eran de confianza pueden cambiar inesperadamente a un comportamiento malicioso tras la integraci\u00f3n, aprovechando las relaciones de confianza establecidas.<\/td>\n<td style=\"width: 42.1902%;\">Los agentes de confianza pueden volverse maliciosos de forma inesperada al actualizar sus AgentCards o su l\u00f3gica de funcionamiento.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.2037%;\">Herramienta\/Agente de seguimiento<\/td>\n<td style=\"width: 36.7573%;\">Los servidores maliciosos registran herramientas con nombres id\u00e9nticos o similares a los de las herramientas leg\u00edtimas, lo que provoca confusi\u00f3n a la hora de seleccionar las herramientas.<\/td>\n<td style=\"width: 42.1902%;\">Los agentes maliciosos crean AgentCards que imitan a los agentes leg\u00edtimos mediante nombres similares, habilidades o t\u00e9cnicas de typosquatting.<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 20.2037%;\">Par\u00e1metro\/Habilidad Envenenamiento<\/td>\n<td style=\"width: 36.7573%;\">Los par\u00e1metros de las herramientas pueden manipularse para incluir datos no deseados (por ejemplo, el historial de conversaciones) en las solicitudes a servidores externos.<\/td>\n<td style=\"width: 42.1902%;\">Las habilidades y ejemplos de AgentCard pueden dise\u00f1arse para manipular la forma en que interact\u00faan los agentes, lo que podr\u00eda exponer informaci\u00f3n confidencial o credenciales.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a01. Comparaci\u00f3n entre los ataques MCP y A2A.<\/span><\/p>\n<h2><a id=\"post-165386-_heading=h.w5vmwdw0i69j\"><\/a>El ataque de contrabando de sesiones de agente<\/h2>\n<p>El contrabando de sesiones de agente es un nuevo vector de ataque espec\u00edfico para la comunicaci\u00f3n entre agentes con estado, como los sistemas A2A. Una comunicaci\u00f3n tiene estado si puede recordar interacciones recientes, como una conversaci\u00f3n en la que ambas partes realizan un seguimiento del contexto en curso.<\/p>\n<p>El n\u00facleo del ataque consiste en un agente remoto malicioso que hace un uso indebido de una sesi\u00f3n en curso para inyectar instrucciones adicionales entre una solicitud leg\u00edtima del cliente y la respuesta del servidor. Estas instrucciones ocultas pueden provocar el envenenamiento del contexto (corrompiendo la comprensi\u00f3n de la IA de una conversaci\u00f3n), la exfiltraci\u00f3n de datos o la ejecuci\u00f3n no autorizada de herramientas en el agente cliente.<\/p>\n<p>En la Figura 1 se describe la secuencia del ataque:<\/p>\n<ul>\n<li><strong>Paso\u00a01<\/strong>: el agente cliente inicia una nueva sesi\u00f3n enviando una solicitud normal al agente remoto.<\/li>\n<li><strong>Paso\u00a02<\/strong>: el agente remoto comienza a procesar la solicitud. Durante esta sesi\u00f3n activa, env\u00eda de forma encubierta instrucciones adicionales al agente cliente a trav\u00e9s de varias interacciones por turnos.<\/li>\n<li><strong>Paso\u00a03<\/strong>: el agente remoto devuelve la respuesta esperada a la solicitud original, completando la transacci\u00f3n.<\/li>\n<\/ul>\n<figure id=\"attachment_165387\" aria-describedby=\"caption-attachment-165387\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165387 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-128789-165386-1.png\" alt=\"Diagrama que muestra el proceso de un ataque de ciberseguridad. A la izquierda se encuentra un agente cliente v\u00edctima y a la derecha, el agente remoto malicioso. Los pasos que se siguen son los siguientes: 1) Solicitud del cliente. 2) Acci\u00f3n maliciosa. 3) Respuesta del servidor.\" width=\"800\" height=\"191\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-128789-165386-1.png 1432w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-128789-165386-1-786x187.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-128789-165386-1-768x183.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-165387\" class=\"wp-caption-text\">Figura 1. Flujo del ataque de contrabando de sesiones de agente.<\/figcaption><\/figure>\n<p><strong>Propiedades clave del ataque<\/strong><\/p>\n<ul>\n<li><strong>Con estado<\/strong>: el ataque aprovecha la capacidad del agente remoto para gestionar tareas de larga duraci\u00f3n y mantener el estado de la sesi\u00f3n. Esto significa que el agente guarda el contexto de una interacci\u00f3n, de forma muy similar a como una persona recuerda el comienzo de una frase mientras escucha el final. En este contexto, con estado significa que el agente conserva y consulta informaci\u00f3n espec\u00edfica de la sesi\u00f3n a lo largo de m\u00faltiples turnos (por ejemplo, el historial de conversaciones, las variables o el progreso de las tareas vinculadas a un ID de sesi\u00f3n), de modo que los mensajes posteriores pueden depender del contexto anterior.<\/li>\n<li><strong>Interacci\u00f3n de m\u00faltiples turnos<\/strong>: debido a la propiedad con estado, dos agentes conectados pueden entablar conversaciones de m\u00faltiples turnos. Un agente malicioso puede aprovechar esto para llevar a cabo ataques progresivos y adaptativos de m\u00faltiples turnos, que han demostrado ser significativamente m\u00e1s dif\u00edciles de defender en investigaciones anteriores (consulte, por ejemplo, \u201c<a href=\"https:\/\/scale.com\/research\/mhj\" target=\"_blank\" rel=\"noopener\">Las defensas LLM a\u00fan no son robustas frente a las fugas humanas de m\u00faltiples turnos<\/a>\u201d).<\/li>\n<li><strong>Aut\u00f3nomo y adaptativo<\/strong>: los agentes maliciosos que funcionan con modelos de IA pueden crear din\u00e1micamente instrucciones basadas en el contexto en tiempo real, como las entradas del cliente, las respuestas intermedias y la identidad del usuario.<\/li>\n<li><strong>Indetectable para los usuarios finales<\/strong>: las instrucciones inyectadas se producen en mitad de la sesi\u00f3n, lo que las hace invisibles para los usuarios finales, que normalmente solo ven la respuesta final y consolidada del agente cliente.<\/li>\n<\/ul>\n<p>En principio, cualquier sistema multiagente con comunicaci\u00f3n entre agentes con estado podr\u00eda ser susceptible a este ataque. Sin embargo, el riesgo es menor en configuraciones totalmente contenidas dentro de un \u00fanico l\u00edmite de confianza. Un l\u00edmite de confianza es un \u00e1rea del sistema en la que todos los componentes son confiables por defecto, como los sistemas multiagente <a href=\"https:\/\/google.github.io\/adk-docs\/agents\/multi-agents\/\" target=\"_blank\" rel=\"noopener\">ADK<\/a> o<a href=\"https:\/\/langchain-ai.github.io\/langgraph\/concepts\/multi_agent\/\" target=\"_blank\" rel=\"noopener\"> LangGraph<\/a>, en los que un administrador controla todos los agentes participantes.<\/p>\n<p>Por lo tanto, nuestra investigaci\u00f3n se centra en el protocolo A2A, que est\u00e1 dise\u00f1ado expl\u00edcitamente para la interoperabilidad entre l\u00edmites. Esta interoperabilidad permite a los agentes colaborar entre diferentes sistemas, m\u00f3dulos u organizaciones.<\/p>\n<p>En comparaci\u00f3n con las amenazas MCP conocidas, el contrabando de sesiones de agentes aprovecha el dise\u00f1o adaptativo y con estado de A2A de formas que no son posibles en MCP. Los servidores MCP suelen funcionar sin estado, ejecutando invocaciones de herramientas aisladas sin conservar el historial de sesiones, lo que limita la capacidad de los actores para utilizarlos para montar ataques multiturno o evolutivos.<\/p>\n<p>Los servidores MCP tambi\u00e9n suelen ser est\u00e1ticos y deterministas, ya que no se basan en modelos de IA. Por el contrario, un servidor A2A puede mantener el estado a lo largo de las interacciones y aprovechar el razonamiento basado en modelos, lo que permite a un agente malicioso adaptar y perfeccionar las instrucciones a lo largo de m\u00faltiples turnos. Esta combinaci\u00f3n de persistencia y autonom\u00eda hace que el contrabando de sesiones de agentes sea m\u00e1s sigiloso y dif\u00edcil de defender que los ataques basados en MCP.<\/p>\n<h2><a id=\"post-165386-_heading=h.qa6d9f1cr0ht\"><\/a>Ataques de contrabando de sesiones de agentes de prueba de concepto<\/h2>\n<p>Para demostrar la viabilidad y el impacto potencial del contrabando de sesiones de agentes, desarrollamos dos escenarios de ataque de prueba de concepto (PoC). La configuraci\u00f3n consist\u00eda en un asistente financiero (el agente cliente) y un asistente de investigaci\u00f3n (el agente remoto malicioso). Estas PoC ilustran c\u00f3mo un agente malicioso puede filtrar datos confidenciales y ejecutar acciones no autorizadas sin que el usuario final se d\u00e9 cuenta.<\/p>\n<ol>\n<li><strong>Fuga de informaci\u00f3n confidencial<\/strong>: extracci\u00f3n de datos confidenciales del agente cliente.<\/li>\n<li><strong>Invocaci\u00f3n no autorizada de herramientas<\/strong>: convencer al agente cliente para que realice acciones no autorizadas en nombre del usuario v\u00edctima.<\/li>\n<\/ol>\n<p><strong>Configuraci\u00f3n del entorno<\/strong>:<\/p>\n<ul>\n<li>Marco de desarrollo:<a href=\"https:\/\/google.github.io\/adk-docs\/\" target=\"_blank\" rel=\"noopener\"> kit de desarrollo de agentes de Google<\/a><\/li>\n<li>Protocolo de comunicaci\u00f3n entre agentes:<a href=\"https:\/\/a2a-protocol.org\/latest\/\" target=\"_blank\" rel=\"noopener\"> A2A<\/a><\/li>\n<li>Agente cliente: <a href=\"https:\/\/github.com\/google\/adk-samples\/tree\/main\/python\/agents\/financial-advisor\" target=\"_blank\" rel=\"noopener\">asistente financiero<\/a> basado en el ejemplo de asesor financiero de ADK. El agente admite tareas como recuperar noticias financieras, gestionar carteras y ejecutar operaciones comerciales.\n<ul>\n<li>Modelo:<a href=\"https:\/\/storage.googleapis.com\/model-cards\/documents\/gemini-2.5-pro.pdf\" target=\"_blank\" rel=\"noopener\"> Gemini 2.5 Pro<\/a><\/li>\n<li>Herramientas disponibles:<span style=\"font-family: 'courier new', courier, monospace;\"> get_portfolio, get_profile, buy_stock, sell_stock<\/span><\/li>\n<\/ul>\n<\/li>\n<li>Agente remoto: un asistente de investigaci\u00f3n adaptado del ejemplo ADK <a href=\"https:\/\/github.com\/google\/adk-samples\/blob\/main\/python\/agents\/financial-advisor\/financial_advisor\/sub_agents\/data_analyst\/agent.py\" target=\"_blank\" rel=\"noopener\">data_analyst<\/a>. Su funci\u00f3n es recopilar y resumir noticias sobre empresas.\n<ul>\n<li>Modelo:<a href=\"https:\/\/storage.googleapis.com\/deepmind-media\/Model-Cards\/Gemini-2-5-Flash-Model-Card.pdf\" target=\"_blank\" rel=\"noopener\"> Gemini 2.5 Flash<\/a><\/li>\n<li>Herramientas disponibles:<a href=\"https:\/\/google.github.io\/adk-docs\/tools\/built-in-tools\/#google-search\" target=\"_blank\" rel=\"noopener\"> Google Search<\/a><\/li>\n<\/ul>\n<\/li>\n<li>Interfaz de usuario:<a href=\"https:\/\/github.com\/google\/adk-web\" target=\"_blank\" rel=\"noopener\"> Interfaz de usuario web para desarrolladores de ADK<\/a><\/li>\n<\/ul>\n<h3><a id=\"post-165386-_heading=h.3yo5qbjmiskv\"><\/a>PoC 1: fuga de informaci\u00f3n confidencial.<\/h3>\n<p>En este escenario, el agente remoto malicioso (asistente de investigaci\u00f3n) tiene como objetivo filtrar el estado interno del agente cliente (asistente financiero), que incluye:<\/p>\n<ul>\n<li>Historial de chat<\/li>\n<li>Instrucciones del sistema<\/li>\n<li>Herramientas disponibles<\/li>\n<li>Esquemas de herramientas<\/li>\n<\/ul>\n<p>El ataque se desarrolla de forma sutil. Al recibir una solicitud leg\u00edtima del asistente financiero, el asistente de investigaci\u00f3n formula una serie de preguntas aclaratorias aparentemente inofensivas. Estas preguntas de seguimiento enga\u00f1an gradualmente al asistente financiero para que revele informaci\u00f3n confidencial que nunca deber\u00eda salir de su entorno.<\/p>\n<p>En la Figura\u00a02 se ilustra el flujo de interacci\u00f3n del usuario. La sesi\u00f3n comienza con normalidad. El usuario pide al asistente financiero que recupere la cartera de inversiones y el perfil, y a continuaci\u00f3n solicita un resumen de las noticias del mercado de IA.<\/p>\n<p>Esta solicitud de noticias del mercado se delega al asistente de investigaci\u00f3n. Como se muestra en la parte derecha de la figura, el asistente de investigaci\u00f3n mantiene una serie de intercambios con el asistente financiero. Excepto la solicitud inicial y la respuesta final, el asistente de investigaci\u00f3n introduce todas las interacciones intermedias.<\/p>\n<p>Los pasos intermedios que se muestran en la Figura 2 solo aparecen porque la interfaz de usuario (UI) web del desarrollador est\u00e1 dise\u00f1ada para mostrar todas las acciones internas. En una interfaz de usuario de chatbot de producci\u00f3n, estas interacciones intermedias probablemente permanecer\u00edan invisibles.<\/p>\n<figure id=\"attachment_165398\" aria-describedby=\"caption-attachment-165398\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165398 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-131366-165386-2.png\" alt=\"Imagen que muestra una vista de pantalla dividida de una interfaz de chat. A la izquierda, el usuario solicita actualizaciones de la cartera a un bot asistente financiero, resaltado en amarillo. A la derecha, un diagrama de flujo ilustra la secuencia de interacciones entre el usuario y el bot que implican diversas solicitudes y respuestas de datos, resaltadas en verde y amarillo. La primera solicitud es para el asistente de investigaci\u00f3n. A continuaci\u00f3n, se producen interacciones no deseadas entre el asistente financiero y el asistente de investigaci\u00f3n. El \u00faltimo elemento es la \u00faltima respuesta del asistente de investigaci\u00f3n. \" width=\"1000\" height=\"518\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-131366-165386-2.png 1887w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-131366-165386-2-786x407.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-131366-165386-2-1351x700.png 1351w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-131366-165386-2-768x398.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-131366-165386-2-1536x796.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-165398\" class=\"wp-caption-text\">Figura\u00a02. Interfaz de usuario web para desarrolladores. El lado derecho muestra los intercambios internos entre el asistente financiero y el asistente de investigaci\u00f3n.<\/figcaption><\/figure>\n<p>En la Figura\u00a03 se ofrece una visi\u00f3n m\u00e1s detallada a trav\u00e9s del registro de actividades del asistente financiero. En la Fila\u00a010 se muestra la consulta inicial enviada al asistente de investigaci\u00f3n, y en la Fila\u00a028 se muestra el resultado final que produce el agente de investigaci\u00f3n. En las Filas\u00a011-27, que alternan entre <span style=\"font-family: 'courier new', courier, monospace;\">function_call<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">function_response<\/span>, se revelan las interacciones entre los dos agentes. Durante las interacciones, el asistente financiero revel\u00f3 gradualmente la configuraci\u00f3n de su sistema y el historial de conversaciones previas del usuario.<\/p>\n<figure id=\"attachment_165409\" aria-describedby=\"caption-attachment-165409\" style=\"width: 710px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165409 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-134673-165386-3.png\" alt=\"Captura de pantalla de una pantalla de computadora que muestra c\u00f3digo y texto dentro de un entorno de desarrollo integrado (IDE), analizando las tendencias del mercado de la inteligencia artificial, con menciones de llamadas a funciones e identificadores de clientes. Algunas secciones est\u00e1n resaltadas en recuadros amarillos. \" width=\"710\" height=\"528\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-134673-165386-3.png 710w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-134673-165386-3-592x440.png 592w\" sizes=\"(max-width: 710px) 100vw, 710px\" \/><figcaption id=\"caption-attachment-165409\" class=\"wp-caption-text\">Figura 3. El registro de actividades del asistente financiero que muestra interacciones no intencionadas relacionadas con el contrabando.<\/figcaption><\/figure>\n<p>Por \u00faltimo, en la Figura\u00a04 se muestra el registro del asistente de investigaci\u00f3n tras el ataque. En \u00e9l se confirma la exfiltraci\u00f3n exitosa de datos, incluidas las capacidades del asistente financiero, los esquemas de herramientas y el historial completo de la sesi\u00f3n.<\/p>\n<figure id=\"attachment_165420\" aria-describedby=\"caption-attachment-165420\" style=\"width: 941px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165420 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-137001-165386-4.png\" alt=\"Captura de pantalla de una interfaz de l\u00ednea de comandos de un asesor financiero que muestra diversos detalles de una cartera de inversiones.\" width=\"941\" height=\"745\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-137001-165386-4.png 941w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-137001-165386-4-556x440.png 556w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-137001-165386-4-884x700.png 884w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-137001-165386-4-768x608.png 768w\" sizes=\"(max-width: 941px) 100vw, 941px\" \/><figcaption id=\"caption-attachment-165420\" class=\"wp-caption-text\">Figura 4. El registro del asistente de investigaci\u00f3n que muestra los datos de configuraci\u00f3n filtrados.<\/figcaption><\/figure>\n<h3><a id=\"post-165386-_heading=h.4up8drvnvdeb\"><\/a>PoC 2: invocaci\u00f3n no autorizada de herramientas<\/h3>\n<p>En este escenario, el agente remoto malicioso (asistente de investigaci\u00f3n) intenta enga\u00f1ar al agente cliente (asistente financiero) para que ejecute acciones comerciales no autorizadas. El objetivo del atacante es hacer un uso indebido de la herramienta <span style=\"font-family: 'courier new', courier, monospace;\">buy_stock<\/span> del agente cliente sin el conocimiento ni el consentimiento del usuario final.<\/p>\n<p>Una vez recibida una solicitud de delegaci\u00f3n v\u00e1lida, el asistente de investigaci\u00f3n env\u00eda requisitos de procesamiento adicionales, lo que lleva al asistente financiero a realizar invocaciones de herramientas no relacionadas con la solicitud original del usuario. Esta PoC asume que el atacante conoce las herramientas del asistente financiero, ya sea a trav\u00e9s de informaci\u00f3n p\u00fablica o de la PoC anterior.<\/p>\n<p>En la Figura\u00a05 se ilustra el flujo de interacci\u00f3n del usuario. En la parte derecha, la solicitud de noticias del usuario se delega al asistente de investigaci\u00f3n. Aunque el asistente de investigaci\u00f3n proporciona el resumen de noticias esperado, tambi\u00e9n introduce instrucciones ocultas que inducen al asistente financiero a invocar la herramienta <span style=\"font-family: 'courier new', courier, monospace;\">buy_stock<\/span>. Una vez m\u00e1s, estas acciones intermedias se ejecutan de forma aut\u00f3noma y permanecer\u00edan invisibles en una interfaz t\u00edpica de chatbot de producci\u00f3n, en la que al usuario solo se le mostrar\u00eda la respuesta resumida final.<\/p>\n<figure id=\"attachment_165431\" aria-describedby=\"caption-attachment-165431\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165431 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-139478-165386-5.png\" alt=\"Captura de pantalla de la comunicaci\u00f3n entre el asistente financiero y el asistente de investigaci\u00f3n. A la izquierda est\u00e1 el asistente financiero. A la derecha est\u00e1 el asistente de investigaci\u00f3n con una secuencia de eventos en la que: la primera solicitud se env\u00eda al asistente de investigaci\u00f3n. Existen interacciones no deseadas entre el asistente financiero y el asistente de investigaci\u00f3n. Hay una respuesta final del asistente de investigaci\u00f3n. \" width=\"1000\" height=\"385\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-139478-165386-5.png 1905w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-139478-165386-5-786x303.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-139478-165386-5-1817x700.png 1817w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-139478-165386-5-768x296.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-139478-165386-5-1536x592.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-165431\" class=\"wp-caption-text\">Figura 5. Interfaz de usuario web para desarrolladores que muestra la comunicaci\u00f3n entre el asistente financiero y el asistente de investigaci\u00f3n, incluidas las instrucciones ocultas.<\/figcaption><\/figure>\n<p>En la Figura\u00a06 se muestra el registro de actividades del asistente financiero. En la Fila\u00a07 se muestra la solicitud inicial enviada al asistente de investigaci\u00f3n, y en la Fila\u00a012 se muestra la respuesta leg\u00edtima recibida. Sin embargo, en las Filas\u00a08-11 se revelan cuatro acciones adicionales que el asistente financiero ejecut\u00f3 de forma aut\u00f3noma, lo que dio lugar a una operaci\u00f3n no autorizada de 10\u00a0acciones en nombre del usuario v\u00edctima. En esta secuencia se muestra c\u00f3mo el contrabando de sesiones de agentes puede pasar de ser una fuga de informaci\u00f3n a la ejecuci\u00f3n de herramientas de gran impacto.<\/p>\n<figure id=\"attachment_165442\" aria-describedby=\"caption-attachment-165442\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-165442 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-142695-165386-6.png\" alt=\"Captura de pantalla de una pantalla de computadora que muestra c\u00f3digo en un entorno de desarrollo integrado (IDE), con anotaciones que resaltan funciones espec\u00edficas y sus respuestas relacionadas con la investigaci\u00f3n de acciones y las actividades de transacci\u00f3n. La parte resaltada indica la invocaci\u00f3n y la respuesta de la herramienta buy_stock(). \" width=\"1000\" height=\"415\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-142695-165386-6.png 1899w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-142695-165386-6-786x326.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-142695-165386-6-1687x700.png 1687w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-142695-165386-6-768x319.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-142695-165386-6-1536x637.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-165442\" class=\"wp-caption-text\">Figura 6. Registro de actividades del asistente financiero que muestra la compra no autorizada de acciones provocada por instrucciones il\u00edcitas.<\/figcaption><\/figure>\n<h2><a id=\"post-165386-_heading=h.2g20sb59erjg\"><\/a>Mitigaci\u00f3n y protecci\u00f3n<\/h2>\n<p>La defensa contra el contrabando de sesiones de agentes requiere un enfoque de seguridad por capas que valide la identidad de los agentes, la integridad de la conversaci\u00f3n y el impacto de las acciones realizadas. Las siguientes estrategias pueden ayudar a mitigar los riesgos:<\/p>\n<ul>\n<li><strong>Aplicar la confirmaci\u00f3n fuera de banda para acciones sensibles<\/strong>: la defensa m\u00e1s eficaz es exigir la aprobaci\u00f3n de HitL para cualquier acci\u00f3n sensible o de gran impacto, pero esta confirmaci\u00f3n debe realizarse fuera de banda, a trav\u00e9s de un canal independiente sobre el que el LLM no pueda influir. Cuando se le indica a un agente que realice una tarea cr\u00edtica, el marco de coordinaci\u00f3n debe pausar la ejecuci\u00f3n. A continuaci\u00f3n, debe activar un mensaje de confirmaci\u00f3n en una parte est\u00e1tica y no generativa de la interfaz de usuario de la aplicaci\u00f3n o a trav\u00e9s de un sistema independiente, como una notificaci\u00f3n push.<\/li>\n<li><strong>Implementar el anclaje de contexto<\/strong>: un ataque de contrabando de sesiones de agentes se basa en desviar una conversaci\u00f3n de su prop\u00f3sito original para inyectar comandos maliciosos. El anclaje contextual es un control t\u00e9cnico que aplica algor\u00edtmicamente la integridad conversacional. Cuando un agente cliente inicia una sesi\u00f3n, debe crear un ancla de tarea basada en la intenci\u00f3n original de la solicitud del usuario. A medida que avanza la interacci\u00f3n, el cliente debe validar continuamente que las instrucciones del agente remoto sigan alineadas sem\u00e1nticamente con este ancla. Cualquier desviaci\u00f3n significativa o introducci\u00f3n de temas no relacionados debe hacer que el agente cliente marque la interacci\u00f3n como un posible intento de secuestro y termine la sesi\u00f3n.<\/li>\n<li><strong>Validar la identidad y las capacidades del agente<\/strong>: la comunicaci\u00f3n segura entre agentes debe basarse en una confianza verificable. Antes de iniciar una sesi\u00f3n, se debe exigir a los agentes que presenten credenciales verificables, como <a href=\"https:\/\/github.com\/sigstore\/sigstore-a2a\" target=\"_blank\" rel=\"noopener\">AgentCards firmadas criptogr\u00e1ficamente<\/a>. Esto permite a cada participante confirmar la identidad, el origen y las capacidades declaradas del otro. Si bien este control no impide que un agente de confianza sea subvertido, elimina el riesgo de suplantaci\u00f3n de identidad o ataques de spoofing y establece un registro auditable y a prueba de manipulaciones de todas las interacciones.<\/li>\n<li><strong>Exponer la actividad del agente cliente a los usuarios<\/strong>: las instrucciones y actividades ocultas son invisibles para los usuarios finales, ya que normalmente solo ven la respuesta final del agente cliente. La interfaz de usuario puede reducir este punto d\u00e9bil exponiendo la actividad del agente en tiempo real. Por ejemplo, mostrando las invocaciones de herramientas, mostrando registros de ejecuci\u00f3n en vivo o proporcionando indicadores visuales de instrucciones remotas. Estas se\u00f1ales mejoran la concienciaci\u00f3n de los usuarios y aumentan la posibilidad de detectar actividades sospechosas.<\/li>\n<\/ul>\n<h2><a id=\"post-165386-_heading=h.un9fp3r08h4a\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Este trabajo introdujo el contrabando de sesiones de agentes, una nueva t\u00e9cnica de ataque que se dirige a la comunicaci\u00f3n entre agentes en los sistemas A2A. A diferencia de las amenazas que implican herramientas maliciosas o usuarios finales, un agente comprometido representa un adversario m\u00e1s capaz. Impulsado por modelos de IA, un agente comprometido puede generar de forma aut\u00f3noma estrategias adaptativas, explotar el estado de la sesi\u00f3n y aumentar su influencia en todos los agentes cliente conectados y sus usuarios.<\/p>\n<p>Aunque no hemos observado el ataque en la pr\u00e1ctica, su baja barrera de ejecuci\u00f3n lo convierte en un riesgo realista. Un adversario solo necesita convencer a un agente v\u00edctima para que se conecte a un par malicioso, tras lo cual se pueden inyectar instrucciones encubiertas sin que el usuario lo vea. Para protegerse contra esto se requiere un enfoque de defensa por capas:<\/p>\n<ul>\n<li>Aprobaci\u00f3n de HitL para acciones sensibles.<\/li>\n<li>L\u00f3gica de confirmaci\u00f3n aplicada fuera de las indicaciones del modelo.<\/li>\n<li>Contextualizaci\u00f3n para detectar instrucciones fuera de tema y validaci\u00f3n criptogr\u00e1fica de agentes remotos.<\/li>\n<\/ul>\n<p>A medida que se expanden los ecosistemas multiagente, su interoperabilidad tambi\u00e9n abre nuevas superficies de ataque. Los profesionales deben asumir que la comunicaci\u00f3n entre agentes no es intr\u00ednsecamente fiable. Debemos dise\u00f1ar marcos de coordinaci\u00f3n con medidas de seguridad por capas para contener los riesgos de adversarios adaptables y potenciados por la inteligencia artificial.<\/p>\n<h3><a id=\"post-165386-_heading=h.uk8oz3eow59m\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/prisma-ai-runtime-security\" target=\"_blank\" rel=\"noopener\">Prisma AIRS<\/a> est\u00e1 dise\u00f1ado para la protecci\u00f3n en tiempo real de aplicaciones, modelos, datos y agentes de IA. Analiza el tr\u00e1fico de red y el comportamiento de las aplicaciones para detectar amenazas como la inyecci\u00f3n de instrucciones, los ataques de denegaci\u00f3n de servicio y la exfiltraci\u00f3n de datos, con aplicaci\u00f3n en l\u00ednea a nivel de red y API.<\/p>\n<p>La <a href=\"https:\/\/www.paloaltonetworks.com\/sase\/ai-access-security\" target=\"_blank\" rel=\"noopener\">seguridad de AI Access<\/a> est\u00e1 dise\u00f1ada para proporcionar visibilidad y control sobre el uso de herramientas GenAI de terceros, lo que ayuda a prevenir la exposici\u00f3n de datos confidenciales, el uso inseguro de modelos arriesgados y resultados perjudiciales mediante la aplicaci\u00f3n de pol\u00edticas y la supervisi\u00f3n de la actividad de los usuarios. Juntos, Prisma AIRS y la seguridad de AI Access ayudan a proteger la creaci\u00f3n de aplicaciones de IA empresariales y las interacciones externas de IA.<\/p>\n<p><a href=\"https:\/\/www.google.com\/url?q=https:\/\/www.paloaltonetworks.com\/cortex\/cloud\/ai-security-posture-management&amp;sa=D&amp;source=docs&amp;ust=1761584961380271&amp;usg=AOvVaw2b8cT4GVqWx6VcY3a357uA\" target=\"_blank\" rel=\"noopener\">Cortex Cloud de AI-SPM<\/a> est\u00e1 dise\u00f1ado para proporcionar un escaneo y una clasificaci\u00f3n autom\u00e1ticos de los activos de IA, tanto modelos comerciales como autogestionados, con el fin de detectar datos confidenciales y evaluar la postura de seguridad. El contexto viene determinado por el tipo de IA, el entorno de alojamiento en la nube, el estado de riesgo, la postura y los conjuntos de datos.<\/p>\n<p>Una <a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/assess\/ai-security-assessment\" target=\"_blank\" rel=\"noopener\">evaluaci\u00f3n de seguridad de IA de Unit 42<\/a> puede ayudarlo a identificar de forma proactiva las amenazas con m\u00e1s probabilidades de afectar su entorno de IA.<\/p>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. M\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-165386-_heading=h.xcqa9ewcjnc1\"><\/a>Referencias<\/h2>\n<ul>\n<li><a href=\"https:\/\/arxiv.org\/html\/2507.06850v1\" target=\"_blank\" rel=\"noopener\">El lado oscuro de los LLM: ataques basados en agentes para el control total de computadoras<\/a> - Matteo Lupinacci et al., arXiv:2507.06850<\/li>\n<li><a href=\"https:\/\/google.github.io\/adk-docs\/agents\/multi-agents\/\" target=\"_blank\" rel=\"noopener\">Sistemas multiagente en ADK<\/a> - Kit de desarrollo de agentes, GitHub de Google<\/li>\n<li><a href=\"https:\/\/langchain-ai.github.io\/langgraph\/concepts\/multi_agent\/\" target=\"_blank\" rel=\"noopener\">Descripci\u00f3n general de la API de Graph<\/a> - LangChain<\/li>\n<li><a href=\"https:\/\/a2a-protocol.org\/latest\/\" target=\"_blank\" rel=\"noopener\">Protocolo A2A<\/a> - Fundaci\u00f3n Linux<\/li>\n<li><a href=\"https:\/\/modelcontextprotocol.io\/docs\/getting-started\/intro\" target=\"_blank\" rel=\"noopener\">Protocolo de contexto de modelo (MCP)<\/a> - Protocolo de contexto de modelo<\/li>\n<li><a href=\"https:\/\/scale.com\/research\/mhj\" target=\"_blank\" rel=\"noopener\">Las defensas LLM a\u00fan no son robustas frente a las fugas humanas de m\u00faltiples turnos<\/a> - Nathaniel Li et al., Scale<\/li>\n<li><a href=\"https:\/\/google.github.io\/adk-docs\/\" target=\"_blank\" rel=\"noopener\">Kit de desarrollo de agentes de Google<\/a> - Kit de desarrollo de agentes, GitHub de Google<\/li>\n<li><a href=\"https:\/\/github.com\/google\/adk-samples\/tree\/main\/python\/agents\/financial-advisor\" target=\"_blank\" rel=\"noopener\">Muestras de Google ADK<\/a> - GitHub de Google<\/li>\n<li><a href=\"https:\/\/modelcards.withgoogle.com\/assets\/documents\/gemini-2.5-pro.pdf\" target=\"_blank\" rel=\"noopener\">Gemini 2.5 Pro [PDF]<\/a> - Google<\/li>\n<li><a href=\"https:\/\/storage.googleapis.com\/deepmind-media\/Model-Cards\/Gemini-2-5-Flash-Model-Card.pdf\" target=\"_blank\" rel=\"noopener\">Gemini 2.5 Flash<\/a> - Google<\/li>\n<li><a href=\"https:\/\/google.github.io\/adk-docs\/tools\/built-in-tools\/#google-search\" target=\"_blank\" rel=\"noopener\">Herramienta de b\u00fasqueda de ADK en Google<\/a> - GitHub de Google<\/li>\n<li><a href=\"https:\/\/github.com\/google\/adk-web\" target=\"_blank\" rel=\"noopener\">Interfaz de usuario web para desarrolladores de ADK<\/a> - GitHub de Google<\/li>\n<li><a href=\"https:\/\/github.com\/sigstore\/sigstore-a2a\" target=\"_blank\" rel=\"noopener\">Sigstore A2A<\/a> - GitHub de Google<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.<\/p>\n","protected":false},"author":316,"featured_media":163291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8856],"tags":[9201,9518,9202],"product_categories":[8928,8932,8933,8948,8890],"coauthors":[1388,73],"class_list":["post-165386","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-vulnerabilities-es-la","tag-genai-es-la","tag-google-es-la","tag-llm-es-la","product_categories-code-to-cloud-platform-es-la","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-unit-42-ai-security-assessment-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Cuando los agentes de IA se rebelan: ataque de contrabando de sesiones de agentes en sistemas A2A<\/title>\n<meta name=\"description\" content=\"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Cuando los agentes de IA se rebelan: ataque de contrabando de sesiones de agentes en sistemas A2A\" \/>\n<meta property=\"og:description\" content=\"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-10-31T13:55:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-11-14T15:08:46+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Jay Chen, Royce Lu\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Cuando los agentes de IA se rebelan: ataque de contrabando de sesiones de agentes en sistemas A2A","description":"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/","og_locale":"es_LA","og_type":"article","og_title":"Cuando los agentes de IA se rebelan: ataque de contrabando de sesiones de agentes en sistemas A2A","og_description":"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/","og_site_name":"Unit 42","article_published_time":"2025-10-31T13:55:00+00:00","article_modified_time":"2025-11-14T15:08:46+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Jay Chen, Royce Lu","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/"},"author":{"name":"Jay Chen","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f7cab9d296947d58f0cb557511cbbfe"},"headline":"Cuando los agentes de IA se rebelan: ataque de contrabando de sesiones de agentes en sistemas A2A","datePublished":"2025-10-31T13:55:00+00:00","dateModified":"2025-11-14T15:08:46+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/"},"wordCount":4350,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","keywords":["GenAI","Google","LLM"],"articleSection":["Investigaci\u00f3n de amenazas","Vulnerabilidades"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/","name":"Cuando los agentes de IA se rebelan: ataque de contrabando de sesiones de agentes en sistemas A2A","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","datePublished":"2025-10-31T13:55:00+00:00","dateModified":"2025-11-14T15:08:46+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f7cab9d296947d58f0cb557511cbbfe"},"description":"El contrabando de sesiones de agentes es una t\u00e9cnica novedosa en la que se hace un uso indebido de la comunicaci\u00f3n entre agentes de IA. Mostramos dos ejemplos de prueba de concepto.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/10\/04_Tutorial_Category_1920x900.jpg","width":1920,"height":900,"caption":"A man wearing glasses focused on a screen with reflections of code visible in the glasses."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/agent-session-smuggling-in-agent2agent-systems\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Cuando los agentes de IA se rebelan: ataque de contrabando de sesiones de agentes en sistemas A2A"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f7cab9d296947d58f0cb557511cbbfe","name":"Jay Chen","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Jay Chen"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/jaychenpaloaltonetworks-com\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/165386","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/316"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=165386"}],"version-history":[{"count":1,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/165386\/revisions"}],"predecessor-version":[{"id":165453,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/165386\/revisions\/165453"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/163291"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=165386"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=165386"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=165386"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=165386"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=165386"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}