Una investigación revela que los sonidos no escuchados por los oídos humanos pueden «secuestrar» el comportamiento de los modelos de IA: los delincuentes informáticos los usan para que realicen acciones no autorizadas, sin que los usuarios se den cuenta.
Los sistemas de voz con Inteligencia Artificial (IA), cada vez más presentes en asistentes, transcriptores y agentes automatizados, pueden ser engañados mediante ataques de audio ocultos. Un estudio publicado en arXiv y presentado recientemente en el Simposio IEEE sobre Seguridad y Privacidad en San Francisco advierte que señales imperceptibles para el oído humano bastan para manipular a estos bots, forzándolos a ejecutar órdenes maliciosas.
Según informa IEEE Spectrum, las señales sonoras pueden ser insertadas dentro de archivos de audio de uso habitual, como podcasts, canciones, videos o mensajes de voz. El trabajo plantea que un clip aparentemente inofensivo puede obligar al modelo a ejecutar acciones no autorizadas, incluyendo delitos informáticos o robos de datos e identidad.
Cambios casi imposibles de detectar
La clave del ataque son un conjunto de instrucciones maliciosas escondidas en el propio audio, como indica Cybernews. A diferencia de un malware tradicional, no hace falta comprometer el dispositivo ni instalar software espía. Basta con que el sistema procese ese contenido.
Según detallan los investigadores, las modificaciones son tan sutiles que el resultado suena natural para una persona, pero el modelo interpreta patrones ocultos como órdenes. Los autores del estudio, de la Universidad de Zhejiang, la Universidad Nacional de Singapur y la Universidad Tecnológica de Nanyang, en China, describen además una técnica de blindado con reverberación natural, para hacer la manipulación todavía más difícil de detectar.
El alcance de esta amenaza es preocupante, porque estos modelos ya no se limitan a transcribir voz: también pueden buscar información en Internet, gestionar correos, interactuar con calendarios o usar herramientas externas. En las pruebas efectuadas, el ataque se evaluó contra 13 modelos de audio de última generación, y logró tasas medias de éxito de entre 79 % y 96 % sin ser advertido.
Una amenaza sin límites a la vista
Entre los comportamientos inducidos figuran búsquedas web sensibles, descargas desde fuentes controladas por el atacante y el envío de correos con información del usuario. La investigación también indica que versiones del ataque se transfirieron a servicios comerciales de Microsoft Azure y Mistral AI.
Referencia
Hijacking Large Audio-Language Models via Context-Agnostic and Imperceptible Auditory Prompt Injection. Meng Chen et al. arXiv (2026). DOI:https://doi.org/10.48550/arXiv.2604.14604
Uno de los aspectos más inquietantes es que el ataque no depende de saber qué le preguntó la víctima al asistente ni de controlar la conversación completa. Los especialistas sostienen que la señal maliciosa puede reutilizarse cuando se desee, y que bastan unos 30 minutos para entrenar al sistema.
Eso lo vuelve especialmente peligroso en escenarios reales: una reunión de Zoom con audio de fondo, un video en línea que luego consulta una IA, o una nota de voz que un usuario le pide resumir a su asistente. ¿Qué límites puede tener este tipo de amenaza mientras las capacidades tecnológicas de los modelos de IA se siguen expandiendo?
