{"id":274,"date":"2026-03-17T18:23:54","date_gmt":"2026-03-17T18:23:54","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/17\/los-fallos-de-la-ia-en-amazon-bedrock-langsmith-y-sglang-permiten-la-filtracion-de-datos-y-el-rce-cyberdefensa-mx\/"},"modified":"2026-03-17T18:23:54","modified_gmt":"2026-03-17T18:23:54","slug":"los-fallos-de-la-ia-en-amazon-bedrock-langsmith-y-sglang-permiten-la-filtracion-de-datos-y-el-rce-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/17\/los-fallos-de-la-ia-en-amazon-bedrock-langsmith-y-sglang-permiten-la-filtracion-de-datos-y-el-rce-cyberdefensa-mx\/","title":{"rendered":"Los fallos de la IA en Amazon Bedrock, LangSmith y SGLang permiten la filtraci\u00f3n de datos y el RCE \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de un nuevo m\u00e9todo para extraer datos confidenciales de entornos de ejecuci\u00f3n de c\u00f3digo de inteligencia artificial (IA) mediante consultas del sistema de nombres de dominio (DNS).<\/p>\n

En un informe publicado el lunes, BeyondTrust revel\u00f3<\/a> que el modo sandbox de Amazon Bedrock AgentCore Code Interpreter permite consultas DNS salientes que un atacante puede aprovechar para habilitar shells interactivos y evitar el aislamiento de la red. La emisi\u00f3n, que no tiene un identificador CVE, tiene una puntuaci\u00f3n CVSS de 7,5 sobre 10,0.<\/p>\n

Int\u00e9rprete de c\u00f3digo de Amazon Bedrock AgentCore<\/a> es un servicio totalmente administrado que permite a los agentes de IA ejecutar c\u00f3digo de forma segura en entornos aislados tipo sandbox<\/a>de modo que las cargas de trabajo agentes no puedan acceder a sistemas externos. Fue lanzado por Amazon en agosto de 2025.<\/p>\n

El hecho de que el servicio permita consultas de DNS a pesar de la configuraci\u00f3n de \u00absin acceso a la red\u00bb puede permitir que \u00ablos actores de amenazas establezcan canales de comando y control y exfiltraci\u00f3n de datos a trav\u00e9s de DNS en ciertos escenarios, evitando los controles de aislamiento de red esperados\u00bb, dijo Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust.<\/p>\n

En un escenario de ataque experimental, un actor de amenazas puede abusar de este comportamiento para configurar un canal de comunicaci\u00f3n bidireccional mediante consultas y respuestas de DNS, obtener un shell inverso interactivo, filtrar informaci\u00f3n confidencial a trav\u00e9s de consultas de DNS si su funci\u00f3n de IAM tiene permisos para acceder a recursos de AWS, como dep\u00f3sitos S3 que almacenan esos datos, y ejecutar comandos.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Es m\u00e1s, se puede abusar del mecanismo de comunicaci\u00f3n DNS para entregar cargas \u00fatiles adicionales que se env\u00edan al int\u00e9rprete de c\u00f3digo, lo que hace que sondee el servidor de comando y control (C2) de DNS en busca de comandos almacenados en registros DNS A, los ejecute y devuelva los resultados a trav\u00e9s de consultas de subdominio DNS.<\/p>\n

Vale la pena se\u00f1alar que Code Interpreter requiere una funci\u00f3n de IAM para acceder a los recursos de AWS. Sin embargo, un simple descuido puede provocar que se asigne una funci\u00f3n con privilegios excesivos al servicio, otorg\u00e1ndole amplios permisos para acceder a datos confidenciales.<\/p>\n

\u00abEsta investigaci\u00f3n demuestra c\u00f3mo la resoluci\u00f3n DNS puede socavar las garant\u00edas de aislamiento de la red de los int\u00e9rpretes de c\u00f3digo aislados\u00bb, dijo BeyondTrust. \u00abAl utilizar este m\u00e9todo, los atacantes podr\u00edan haber extra\u00eddo datos confidenciales de los recursos de AWS accesibles a trav\u00e9s de la funci\u00f3n IAM del int\u00e9rprete de c\u00f3digo, lo que podr\u00eda causar tiempo de inactividad, violaciones de datos de informaci\u00f3n confidencial del cliente o infraestructura eliminada\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

Tras la divulgaci\u00f3n responsable en septiembre de 2025, Amazon determin\u00f3 que se trataba de una funcionalidad prevista y no de un defecto, e inst\u00f3 a los clientes a utilizar modo VPC<\/a> en lugar del modo sandbox para un aislamiento completo de la red. El gigante tecnol\u00f3gico tambi\u00e9n recomienda el uso de un cortafuegos DNS<\/a> para filtrar el tr\u00e1fico DNS saliente.<\/p>\n

\"\"<\/a><\/div>\n

\u00abPara proteger las cargas de trabajo sensibles, los administradores deben inventariar todas las instancias activas de AgentCore Code Interpreter y migrar inmediatamente aquellas que manejan datos cr\u00edticos del modo Sandbox al modo VPC\u00bb, dijo Jason Soroko, miembro senior de Sectigo.<\/p>\n

\u00abOperar dentro de una VPC proporciona la infraestructura necesaria para un aislamiento s\u00f3lido de la red, lo que permite a los equipos implementar grupos de seguridad estrictos, ACL de red y firewalls DNS Route53 Resolver para monitorear y bloquear la resoluci\u00f3n DNS no autorizada. Finalmente, los equipos de seguridad deben auditar rigurosamente las funciones de IAM adjuntas a estos int\u00e9rpretes, aplicando estrictamente el principio de privilegio m\u00ednimo para restringir el radio de explosi\u00f3n de cualquier posible compromiso\u00bb.<\/p>\n

LangSmith es susceptible a un error de adquisici\u00f3n de cuentas<\/h2>\n

La divulgaci\u00f3n se produce cuando Miggo Security revel\u00f3 una falla de seguridad de alta gravedad en LangSmith (CVE-2026-25750<\/a>puntuaci\u00f3n CVSS: 8,5) que expon\u00eda a los usuarios a un posible robo de tokens y apropiaci\u00f3n de cuentas. El problema, que afecta tanto a las implementaciones autohospedadas como a las implementaciones en la nube, se solucion\u00f3 en la versi\u00f3n 0.12.71 de LangSmith, lanzada en diciembre de 2025.<\/p>\n

La deficiencia se ha caracterizado como un caso de inyecci\u00f3n de par\u00e1metros de URL derivada de una falta de validaci\u00f3n en el par\u00e1metro baseUrl, lo que permite a un atacante robar el token de portador, la ID de usuario y la ID del espacio de trabajo de un usuario que ha iniciado sesi\u00f3n y transmitidos a un servidor bajo su control mediante t\u00e9cnicas de ingenier\u00eda social, como enga\u00f1ar a la v\u00edctima para que haga clic en un enlace especialmente dise\u00f1ado como el siguiente:<\/p>\n