{"id":412,"date":"2026-03-31T14:32:19","date_gmt":"2026-03-31T14:32:19","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/31\/la-vulnerabilidad-de-vertex-ai-expone-datos-de-google-cloud-y-artefactos-privados-cyberdefensa-mx\/"},"modified":"2026-03-31T14:32:19","modified_gmt":"2026-03-31T14:32:19","slug":"la-vulnerabilidad-de-vertex-ai-expone-datos-de-google-cloud-y-artefactos-privados-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/31\/la-vulnerabilidad-de-vertex-ai-expone-datos-de-google-cloud-y-artefactos-privados-cyberdefensa-mx\/","title":{"rendered":"La vulnerabilidad de Vertex AI expone datos de Google Cloud y artefactos privados \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad han revelado un \u00abpunto ciego\u00bb de seguridad en la plataforma Vertex AI de Google Cloud que podr\u00eda permitir que un atacante utilice agentes de inteligencia artificial (IA) para obtener acceso no autorizado a datos confidenciales y comprometer el entorno de nube de una organizaci\u00f3n.<\/p>\n

Seg\u00fan la Unidad 42 de Palo Alto Networks, el problema se relaciona con c\u00f3mo se puede hacer un mal uso del modelo de permisos de Vertex AI aprovechando la agente de servicio<\/a>El alcance excesivo del permiso de forma predeterminada.<\/p>\n

\u00abUn agente mal configurado o comprometido puede convertirse en un ‘agente doble’ que parece cumplir su prop\u00f3sito previsto, mientras extrae secretamente datos confidenciales, compromete la infraestructura y crea puertas traseras en los sistemas m\u00e1s cr\u00edticos de una organizaci\u00f3n\u00bb, dijo el investigador de la Unidad 42, Ofir Shaty. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Espec\u00edficamente, la empresa de ciberseguridad descubri\u00f3 que el agente de servicio por proyecto y por producto (P4SA<\/a>) asociado con un agente de IA implementado creado con el kit de desarrollo de agentes de Vertex AI (ADK<\/a>) ten\u00eda permisos excesivos otorgados de forma predeterminada. Esto abri\u00f3 la puerta a un escenario en el que los permisos predeterminados de P4SA podr\u00edan usarse para extraer las credenciales de un agente de servicio y realizar acciones en su nombre.<\/p>\n

Despu\u00e9s de implementar el agente Vertex a trav\u00e9s de Motor de agente<\/a>cualquier llamada al agente invoca el servicio de metadatos de Google y expone las credenciales del agente de servicio, junto con el proyecto de Google Cloud Platform (GCP) que aloja al agente de IA, la identidad del agente de IA y los alcances de la m\u00e1quina que aloja al agente de IA.<\/p>\n

La Unidad 42 dijo que pudo usar las credenciales robadas para saltar del contexto de ejecuci\u00f3n del agente de IA al proyecto del cliente, socavando efectivamente las garant\u00edas de aislamiento y permitiendo el acceso de lectura sin restricciones a todos los datos de los dep\u00f3sitos de Google Cloud Storage dentro de ese proyecto.<\/p>\n

\u00abEste nivel de acceso constituye un riesgo de seguridad significativo, transformando al agente de IA de una herramienta \u00fatil a una potencial amenaza interna\u00bb, a\u00f1adi\u00f3.<\/p>\n

\"\"<\/a><\/div>\n

Eso no es todo. Con el Vertex AI Agent Engine implementado ejecut\u00e1ndose dentro de un proyecto de inquilino administrado por Google, las credenciales extra\u00eddas tambi\u00e9n otorgaron acceso a los dep\u00f3sitos de Google Cloud Storage dentro del inquilino, ofreciendo m\u00e1s detalles sobre la infraestructura interna de la plataforma. Sin embargo, se descubri\u00f3 que las credenciales carec\u00edan de los permisos necesarios para acceder a los dep\u00f3sitos expuestos.<\/p>\n

Para empeorar las cosas, las mismas credenciales del agente de servicio P4SA tambi\u00e9n permitieron el acceso a repositorios restringidos de Artifact Registry propiedad de Google que se revelaron durante la implementaci\u00f3n de Agent Engine. Un atacante podr\u00eda aprovechar este comportamiento para descargar im\u00e1genes de contenedores de repositorios privados que constituyen el n\u00facleo de Vertex AI Reasoning Engine.<\/p>\n

Es m\u00e1s, las credenciales de P4SA comprometidas no solo permitieron descargar im\u00e1genes que aparec\u00edan en los registros durante la implementaci\u00f3n de Agent Engine, sino que tambi\u00e9n expusieron el contenido de los repositorios de Artifact Registry, incluidas varias otras im\u00e1genes restringidas. <\/p>\n

\u00abObtener acceso a este c\u00f3digo propietario no s\u00f3lo expone la propiedad intelectual de Google, sino que tambi\u00e9n proporciona al atacante un modelo para encontrar m\u00e1s vulnerabilidades\u00bb, explic\u00f3 la Unidad 42. <\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEl Artifact Registry mal configurado resalta una falla adicional en la gesti\u00f3n del control de acceso para la infraestructura cr\u00edtica. Un atacante podr\u00eda potencialmente aprovechar esta visibilidad no intencionada para mapear la cadena de suministro de software interna de Google, identificar im\u00e1genes obsoletas o vulnerables y planificar futuros ataques\u00bb.<\/p>\n

Google desde entonces actualiz\u00f3 su documentaci\u00f3n oficial<\/a> para explicar claramente c\u00f3mo Vertex AI utiliza los recursos, las cuentas y los agentes. El gigante tecnol\u00f3gico tambi\u00e9n recomend\u00f3 que los clientes utilicen Traiga su propia cuenta de servicio (BYOSA) para reemplazar al agente de servicio predeterminado y hacer cumplir el principio de privilegio m\u00ednimo (PoLP) para garantizar que el agente tenga solo los permisos que necesita para realizar la tarea en cuesti\u00f3n.<\/p>\n

\u00abOtorgar a los agentes permisos amplios de forma predeterminada viola el principio de privilegio m\u00ednimo y es una falla de seguridad peligrosa por dise\u00f1o\u00bb, dijo Shaty. \u00abLas organizaciones deben tratar la implementaci\u00f3n de agentes de IA con el mismo rigor que el nuevo c\u00f3digo de producci\u00f3n. Validar los l\u00edmites de permisos, restringir los alcances de OAuth al m\u00ednimo privilegio, revisar la integridad de la fuente y realizar pruebas de seguridad controladas antes del lanzamiento de la producci\u00f3n\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad han revelado un \u00abpunto ciego\u00bb de seguridad en la plataforma Vertex AI de Google Cloud que podr\u00eda permitir que un atacante utilice agentes de inteligencia artificial (IA) para obtener acceso no autorizado a datos confidenciales y comprometer el entorno de nube de una organizaci\u00f3n. Seg\u00fan la Unidad 42 de Palo Alto […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1422,257,24,627,651,256,1423,1421,313],"class_list":["post-412","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-artefactos","tag-cloud","tag-cyberdefensa-mx","tag-datos","tag-expone","tag-google","tag-privados","tag-vertex","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/412","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=412"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/412\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=412"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=412"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=412"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}