Los sistemas de inteligencia artificial basados en modelos de lenguaje grande (LLM) potenciados con Recuperación Aumentada por Generación (RAG) han demostrado una capacidad excepcional para ofrecer respuestas contextualmente ricas y actualizadas al integrar fuentes de conocimiento externas. Sin embargo, esta arquitectura introduce una capa adicional de complejidad computacional que puede convertirse en un vector de ataque silencioso pero devastador. Investigaciones recientes revelan una nueva clase de amenaza: los ataques de costo de inferencia (ICA) dirigidos a sistemas RAG-LLM. A diferencia de los ataques tradicionales que buscan manipular prompts directamente —algo poco realista en entornos productivos—, una estrategia mucho más factible consiste en envenenar las bases de conocimiento externas (por ejemplo, documentación web, repositorios corporativos o fuentes de datos públicas) con documentos maliciosos diseñados para disparar el consumo de tokens durante la inferencia. Este ataque, conocido como RA-ICA y materializado mediante marcos como CREEP (Computational Resource Exhaustion via External Poisoning), utiliza agentes de IA entrenados con algoritmos de refuerzo como MA-GRPO para generar automáticamente documentos que son semánticamente relevantes para la recuperación, pero que inducen un aumento anómalo en el procesamiento, llegando a multiplicar el consumo de tokens hasta 13 veces con tasas de éxito superiores al 90 %, todo sin degradar la calidad aparente de las respuestas generadas.

Para las empresas que han adoptado ia para empresas basada en RAG, este tipo de vulnerabilidad representa un riesgo operativo y económico significativo. El ataque no busca alterar el contenido de la respuesta, sino agotar los recursos computacionales —y por tanto el presupuesto— de la infraestructura. En entornos que ya gestionan grandes volúmenes de consultas, un incremento encubierto en el número de tokens puede traducirse en facturas inesperadas en servicios cloud aws y azure, además de degradar la latencia y escalabilidad del sistema. La clave está en la imposibilidad de detectar la anomalía mediante controles de calidad de respuesta, lo que obliga a replantear las estrategias de ciberseguridad más allá de la integridad de los datos. Aquí es donde cobra sentido incorporar soluciones de ciberseguridad que analicen no solo la superficie de ataque tradicional, sino también los patrones de consumo computacional como indicadores de compromiso.

Desde una perspectiva práctica, la defensa frente a estos ataques requiere un enfoque multidimensional. Por un lado, es necesario auditar y sanitizar las fuentes de conocimiento externas antes de integrarlas en el pipeline RAG, aplicando filtros de relevancia y detección de anomalías contextuales. Por otro lado, resulta crítico diseñar sistemas de monitorización que alerten sobre picos inusuales en el coste de inferencia por consulta, así como políticas de rate limiting adaptativas. Las empresas que desarrollan aplicaciones a medida con componentes de inteligencia artificial pueden beneficiarse de arquitecturas modulares que permitan aislar el impacto de un ataque, por ejemplo, mediante contenedores con límites de recursos o modelos de coste por consulta. Además, la implementación de agentes IA capaces de detectar comportamientos anómalos en los patrones de recuperación —como la repetición de fragmentos sospechosos— añade una capa adicional de resiliencia.

Más allá de la mitigación técnica, este avance en el estado del arte de los ataques subraya la importancia de adoptar un enfoque proactivo en la gobernanza de la IA. Las organizaciones que invierten en servicios inteligencia de negocio y soluciones como Power BI para monitorizar el rendimiento de sus sistemas tienen una ventaja comparativa: pueden correlacionar métricas de coste con indicadores de seguridad, facilitando la detección temprana. Asimismo, la externalización del desarrollo y mantenimiento de sistemas RAG a empresas especializadas como Q2BSTUDIO permite acceder a equipos que integran automatización de procesos y conocimiento de vanguardia en IA, garantizando que tanto la capa de recuperación como la de generación estén protegidas frente a amenazas emergentes. En definitiva, la evolución de los ataques de costo de inferencia nos recuerda que la eficiencia y la seguridad deben ir de la mano en cualquier despliegue de inteligencia artificial empresarial, y que la mejor defensa es una arquitectura diseñada desde el origen para resistir no solo amenazas conocidas, sino también las que aún no han sido imaginadas.