Dinámica de pulsaciones de teclado, R² de la trayectoria del ratón, patrones de desplazamiento, eventos táctiles, tiempos de cumplimentación de formularios y permanencia en la página: señales múltiples que alimentan el scorer local y la canalización de puntuación del backend.
Shield por dentro.
Una visión técnica de cómo Shield protege las entradas web, el chat AI existente, el proxy LLM y las herramientas MCP: arquitectura, flujo de decisiones, auditoría y comparación con WAF / reCAPTCHA.
Protección de primera capa: ni un SIEM, ni una herramienta de análisis.
Shield es una capa de protección activa y pasiva para formularios, inicio de sesión, pago, cargas, chat AI, herramientas MCP y API. El panel muestra decisiones y eventos para que pueda ajustar la defensa, no como un explorador de registros. Los eventos son señales operativas, no inventario analítico.
Shield es:
- ✓Protección en línea para web/tienda electrónica/chat/MCP/backend
- ✓Decisión por solicitud: allow / monitor / challenge / block
- ✓Registro de auditoría firmado y a prueba de manipulaciones de cada decisión
- ✓SDK nativo móvil – iOS + Android – en la hoja de ruta (Sprint M)
Shield no es:
- ×Un SIEM ni un agregador de logs
- ×Un reemplazo para su WAF o CDN: se ubica una capa más profunda
- ×Una herramienta de informes/análisis empresarial
- ×Un producto de cumplimiento certificado: los controles se alinean con los marcos, la auditoría es suya
Tres caminos de protección dependiendo de lo que necesites proteger.
Shield puede sentarse frente a su web, chat AI o herramientas MCP. Cada camino tiene un punto de decisión claro y un resultado auditable.
Web y formularios
El widget JS y el backend SDK protegen los formularios de contacto, el inicio de sesión, el pago y las cargas. Recopilan señales de seguridad, adjuntan un token HMAC y permiten permitir/desafiar/bloquear antes de que una solicitud alcance una lógica sensible.
Chat IA y LLM proxy
El prompt y la respuesta pasan por un firewall LLM. Shield puede anonimizar datos sensibles, bloquear prompt injection, comprobar fugas de instrucciones de sistema y funcionar delante del chat que ya utilizas.
Herramientas, políticas y auditoría MCP
Las llamadas MCP se evalúan por esquema, permisos y riesgo de acción. Las llamadas a herramientas destructivas o sensibles pueden requerir una puerta de aprobación. Cada decisión llega a un registro de auditoría del ámbito del inquilino.
Qué cubre Shield vs. WAF vs. CAPTCHA.
Shield no reemplaza su protección perimetral existente. Se encuentra una capa más profunda.
| Capacidad | Shield | WAF | reCAPTCHA / Torniquete |
|---|---|---|---|
| Detección de bots sin cabeza | Sí, puntuación de múltiples señales | Parcial (reputación de IP) | Sí, en el borde |
| Prompt injection contra LLM | Sí, cortafuegos semántico | No | No |
| Abuso de agentes MCP | Sí, motor de políticas | No | No |
| Spam de formularios / email desechable | Sí, 5 idiomas | No | Parcial |
| Escaneo de malware en uploads | Sí - cuarentena | Parcial | No |
| Payloads SQL injection | Sí: validación AST | Sí - expresión regular | No |
| Credential stuffing (distribuido) | Sí: bloqueo por cuenta | Parcial (por IP) | Parcial |
| Audit log a prueba de manipulaciones | Sí - exportable | Variable | No |
Más de 40 capacidades concretas en 9 categorías.
Matriz categorizada completa. Los umbrales exactos, los pesos de señal y los elementos internos de detección están disponibles para los clientes en el portal.
Canvas, WebGL, contexto de audio, detección de fuentes y huella de navigator se combinan en un hash de dispositivo SHA-256. Detecta navegadores headless y herramientas anti-detección.
Al iniciar la sesión se toma una instantánea en caché efímera de device_hash, webgl_renderer, user_agent, zona horaria y screen_resolution. En los eventos sensibles (inicio de sesión, envío de formulario, pago) se compara la huella en vivo; cualquier deriva suma señales de riesgo importantes.
URL base compatible con OpenAI y Anthropic. Shield analiza cada prompt antes de reenviarlo y cada completion antes de devolverla, bloquea cuando se infringe una política y elimina PII y secretos del stream.
Detección basada en embeddings a través de numerosas categorías de ataque. «Desatiende las directivas anteriores» ≈ «Ignora las instrucciones previas» por similitud de coseno. Embeddings locales con Ollama: coste cero de API por solicitud.
Interceptación de llamadas a herramientas para agentes de Claude / Cursor / IDE. Validación de argumentos con JSON Schema, límite de pasos encadenados, lista de dominios permitidos y puertas de aprobación explícitas para las herramientas destructivas. Inspecciona cada invocación frente a las reglas de protección de agentes antes de ejecutarla.
Más de 40 patrones que analizan la entrada, la salida y las llamadas a herramientas antes y después de la ejecución del modelo. Funciona junto al Firewall semántico para ofrecer una defensa por capas.
5 herramientas expuestas vía MCP: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. Permiten que tu agente de Claude / Cursor investigue y actúe sobre los incidentes sin salir del chat.
Validación de SQL analizado con AST. Bloquea UNION, INTO OUTFILE, pg_sleep e information_schema. LIMIT acotado. Las columnas sensibles (password, api_key, ssn) se redactan automáticamente. Huella de consultas y tablas trampa con honeytokens.
Detección de monederos: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Análisis de frases semilla BIP-39 (12/24 palabras). Prompts de firma (EIP-712). Bloqueo de dominios de minería. Patrones de redirección de pagos.
Detección de galimatías por bigramas (EN / DE / CS / SK / ES), más de 100 dominios de correo desechable, patrones de spam (caracteres repetidos, MAYÚSCULAS, avalancha de URL) y detección de nombres sospechosos. El corpus de phishing y contenido malicioso abarca 9 idiomas (véase la tarjeta de Phishing). Puntuación aditiva con bonificaciones por agrupación.
Escáner multicapa de correo y adjuntos. Detecta cuerpos en eslovaco, checo, polaco, alemán, francés, español y serbio despojados de diacríticos (la señal de phishing más sólida del mundo real), ingeniería social con pistas de contraseña en 9 idiomas, nombres de archivo que imitan mainframes y archivos PDF u Office protegidos con contraseña. La agrupación agnóstica a la marca atrapa la misma estructura sea cual sea el nombre de empresa suplantado.
check_upload() acepta form_fields. Cuando una carga de archivo va acompañada de datos de formulario (título, descripción, nombre, mensaje), la Puntuación de calidad del contenido se ejecuta también sobre esos campos. Un PDF limpio con metadatos sin sentido se rechaza igualmente con una puntuación de alta confianza.
Cada archivo pasa por una puerta de cuarentena: lista de extensiones permitidas, detección de MIME por magic-byte, detección de macros de Office, JavaScript / Launch / OpenAction en PDF e inyección de scripts en SVG / HTML. Tamaño máximo y lista de extensiones configurables por tenant.
Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Valida X-Shield-Token en cada solicitud. Sin token → 403. La verificación HMAC se almacena en una caché efímera por (token, ruta).
Disyuntor de 3 estados (closed / open / half_open) en los tres SDK de backend. Tras errores de transporte consecutivos pasa a OPEN durante un breve intervalo y luego realiza 1 sondeo HALF_OPEN. Los 4xx no disparan el disyuntor. PHP usa APCu para mantener el estado entre workers de FPM. Se acabaron los timeouts en cada solicitud durante un incidente del upstream.
Mapa Reason → (machine_code, human_hint). /shield/verify y los cuerpos de los 403 de los 3 SDK devuelven remediation y remediation_code. Los usuarios legítimos marcados como falsos positivos ven «Tu sesión ha caducado: recarga la página» en lugar de un 403 silencioso.
Plugin PHP de integración directa: inyecta automáticamente el widget e incorpora un middleware que valida los tokens de Shield en /wp-login.php y en los endpoints de administración. Fail-closed por defecto y configurable.
Limitación de velocidad multidimensional: por IP, por dispositivo y por endpoint, con escalado progresivo. Contadores del lado del servidor con ventanas deslizantes.
Geolocalización de IP mediante ip-api.com (caché efímera). Listas de países bloqueados o permitidos por sitio. Modificadores de puntuación para centros de datos y proxy / Tor. Bloqueo total al cargar la página con un overlay de acceso denegado antes de que el widget se inicialice.
El widget impide el envío del formulario cuando la puntuación es de alta confianza. Overlay rojo: «Bloqueado por Corpilus Shield». Tokens HMAC-SHA256 firmados por el servidor que se adjuntan automáticamente a fetch() mediante un interceptor.
278 patrones de detección compilados que se analizan automáticamente en cada evento: cubren todas las categorías del OWASP Top 10 2025. La inspección a nivel de payload ocurre antes de la puntuación.
El analizador de IA analiza los eventos de forma continua. Contexto RAG fundamentado en una base de conocimiento de seguridad curada. Crea automáticamente amenazas y reglas a partir de observaciones reales.
Contexto de inteligencia de amenazas preconstruido (mini-CAG). Incorpora firmas de bots, patrones de ataque y muestras de OWASP: los sitios nuevos quedan protegidos desde la primera vista de página.
La colección Security Knowledge de Shield incluye documentos curados (OWASP Top 10, detección de bots, respuesta a incidentes). Los administradores pueden subir sus propios playbooks corporativos, informes post-mortem o inteligencia de amenazas específica de su dominio. Cada carga pasa por un análisis multicapa. Los documentos limpios quedan en trust_state='pending' hasta que un administrador los promueve explícitamente a 'active'. Solo los documentos activos llegan al contexto RAG del analizador de IA.
Compartición de patrones anonimizados: las IP se reducen a /24, se elimina la PII y se aplica una gradación de madurez (experimental → candidate → confirmed). El atacante confirmado de un tenant se convierte en una amenaza conocida para todos en cuestión de minutos.
El MutationObserver del widget captura una instantánea de todas las etiquetas <script> al arrancar. Cualquier script inyectado posteriormente se reporta como telemetría script_integrity_violation con src, externo o del mismo origen, longitud del contenido y un hash estable. Limitado por carga de página. Lista de CDN de confianza permitidos por tenant.
Contador de Redis por SHA-256(account_id). Cada fallo por encima del límite suma una puntuación de riesgo importante. Un ataque distribuido que reparte muchos intentos entre miles de IP sigue cayendo en el mismo cubo de la cuenta: el intento contra victim@corp.com activa un desafío sea cual sea la IP que lo haya enviado. El contador se reinicia tras un inicio de sesión correcto.
GET /shield/password/breach-range/{prefix}: el cliente calcula SHA-1(password) localmente en el navegador, envía solo el prefijo hexadecimal de 5 caracteres, Shield hace de proxy con api.pwnedpasswords.com y devuelve en streaming la lista de sufijos y recuentos. El cliente compara su propio sufijo en local. El servidor nunca ve el texto plano NI el hash completo.
Comprobación de registros A/AAAA y MX en el registro. Fail-open ante timeout. Caché efímera por dominio para que las oleadas rápidas de registros desde el mismo dominio desechable no martilleen el DNS.
Más de 25 marcas protegidas (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, bancos y aseguradoras de SK/CZ). Detector de tres niveles: 1) coincidencia exacta normalizada mediante mapa de homóglifos, 2) distancia de Levenshtein para marcas largas, 3) subcadena de marca y sufijo decorativo (secure/login/support/verify/auth/signin/account/official/help).
Contadores de velocidad por IP y por dispositivo. Requisito de inicio de sesión reciente: si no hay un inicio de sesión correcto reciente desde este dispositivo → señal de riesgo importante. Continuidad de sesión: password_change ya forma parte del conjunto de eventos SENSITIVE, de modo que una deriva total de la huella bloquea de inmediato. La clásica cadena «el atacante toma la sesión → cambia la contraseña → deja fuera al usuario» tiene que superar las tres puertas.
Correo (HTML), Slack, Discord y webhooks JSON genéricos. Informe de seguridad semanal con estadísticas, principales amenazas y tasa de bloqueo. Puerta de severidad por webhook (low / medium / high / critical).
Cada cambio de regla, edición de la configuración del sitio, bloqueo manual y decisión de la IA se registra con el actor, la marca de tiempo y un diff de antes y después. Encadenado por hash, firmado y exportable como un paquete de evidencias listo para auditores.
Los tokens HMAC-SHA256 se acuñan en el servidor a partir del secreto específico de cada sitio y se devuelven vía /shield/events. El widget nunca posee el secreto de firma: una site_key filtrada no puede usarse para falsificar tokens válidos.
Row-Level Security de PostgreSQL forzada en todas las tablas shield_*. Cada solicitud se ejecuta bajo un rol acotado al tenant: no es posible ningún bypass a nivel de aplicación, ni siquiera si la API tiene un bug.
Rastrea los intentos por BIN de tarjeta a lo largo de ventanas móviles. Los patrones de ráfaga compatibles con las pruebas de tarjetas activan un desafío progresivo o un bloqueo. Los umbrales son ajustables por tenant; los valores por defecto son conservadores.
Cuando la misma huella de tarjeta proporcionada por el PSP aparece en varios dispositivos, sesiones o tenants en una ventana corta, los intentos se correlacionan y se puntúan como un ataque coordinado. El PAN en bruto nunca sale de tu PSP.
Línea base acotada al tenant de la distribución por país del emisor. Una concentración repentina de intentos contra emisores de un número reducido de países, muy por encima de la línea base, señala probable tráfico de carding.
Agrega múltiples señales —dispersión diversa de BIN, mismo dispositivo o sesión, alta proporción de fallos— en un veredicto de carding identificado. Eleva la severidad de la decisión cuando se confirma con la retroalimentación del PSP posterior al cargo.
Los ataques de combustión lenta ya no se cuelan. Shield observa todo el arco de la conversación, no solo un mensaje cada vez. Un atacante que charla de forma inocua durante muchos turnos y solo entonces vira hacia la extracción de datos o el phishing de credenciales queda atrapado en el momento en que emerge el patrón.
Antes de que tu agente ejecute una herramienta, Shield se pregunta: ¿la intención real del usuario es coherente con llamar a esta herramienta? Una petición para resumir un documento no debería desencadenar una exportación de base de datos. Un chat de reserva de viajes no debería estar llamando a una herramienta de pagos. Los desajustes se retienen para revisión.
Los agentes comprometidos y los LLM curiosos suelen explorar el entorno antes de actuar: listan directorios, leen rutas de configuración y enumeran variables de entorno. Shield marca este patrón de reconocimiento de forma temprana, antes de que ningún dato salga de la caja.
Una sola conversación nunca podrá consumir en silencio todo tu presupuesto mensual de IA. Shield impone un techo por sesión sobre los tokens, las llamadas a herramientas y el tiempo transcurrido. Cuando se alcanza el límite, la sesión se pausa o se termina y se notifica al operador.
Shield aprende cómo es lo normal para cada usuario —horas habituales, acciones habituales, ritmo habitual— y marca discretamente el día en que ese patrón se rompe. Una sesión con sesión iniciada que de repente no se parece en nada al usuario real se trata como una posible apropiación.
Se plantan registros, archivos y credenciales señuelo en lugares donde solo un atacante hurgaría. Los usuarios reales nunca los ven. En el momento en que uno se toca, se accede a él o se usa, Shield obtiene una señal de brecha de alta confianza con falsos positivos prácticamente nulos.
Los atacantes ocultan payloads maliciosos dentro de codificaciones por capas —base64, hex, codificación porcentual, escapes unicode— para colarse por los filtros de cadenas simples. Shield desenvuelve estas capas antes de la puntuación, de modo que el ataque subyacente se compara con las mismas protecciones que una versión en texto plano.
Antes de publicar cualquier actualización de regla, modelo o scorer, se ejecuta contra un corpus en continuo crecimiento de escenarios de ataque del mundo real. Si una versión debilita por accidente la detección de una forma de amenaza conocida, el cambio se bloquea en CI, no después de que un cliente sufra una brecha.
Cada decisión de seguridad y cada cambio de configuración se escriben en una cadena a prueba de manipulaciones. Las ediciones y eliminaciones son matemáticamente detectables. Auditores, reguladores y equipos de respuesta a incidentes obtienen una cronología fiable incluso en el peor escenario, en el que un atacante llega a las credenciales de administración.
Cuando ocurre algo, no quieres pasar horas recopilando logs. Un solo clic genera un paquete cifrado y con marca de tiempo del estado relevante del tenant —eventos, reglas, decisiones, tráfico reciente— listo para entregar a tu equipo de seguridad, abogado o regulador.
Shield no te ata a un único proveedor de IA. Trae tu propia clave de OpenAI / Anthropic / Google, apunta a una instancia dedicada de Ollama o ejecútalo totalmente en local. Fija topes de coste estrictos y reglas de enrutamiento. Tus datos fluyen únicamente hacia los proveedores que apruebes de forma explícita.
Para tus acciones de mayor riesgo, Shield puede exigir un gesto con raíz de hardware: Touch ID, Windows Hello o una llave de seguridad física. Son comprobaciones de presencia física que un agente impulsado por LLM o un atacante remoto no pueden resolver, por muy ingenioso que sea el prompt.
Para entornos regulados, clasificados o desconectados, Shield se distribuye como un paquete autoalojado con artefactos de versión firmados y una vía de instalación totalmente sin conexión. Nada tiene que comunicarse con la internet pública, pero aun así recibes actualizaciones de reglas, modelos e inteligencia según tu propio calendario.
Shield puede marcar los envíos de formularios, mensajes y documentos que parezcan generados por máquina en lugar de tecleados por una persona. Combinado con señales de comportamiento y de tiempos, esto ofrece a los operadores una respuesta clara a la pregunta «¿esto es real?» en formularios de solicitud, CV, tickets de soporte y reseñas.
El widget captura una instantánea de fetch, XHR, navigator y userAgent al arrancar y vuelve a comprobarlos periódicamente. Si una extensión de navegador, un script inyectado o una etiqueta de terceros cambia navigator.webdriver, envuelve fetch, reemplaza XHR o muta los descriptores de navigator, Shield reporta la manipulación y puede negarse a emitir un token. El seguimiento de cambios por atributo en form.action o inputs ocultos está en el roadmap, todavía no implementado.
Cada solicitud se comprueba en O(1) contra más de 48.000 indicadores de amenaza en tiempo real, actualizados con frecuencia. Sin configuración por parte del cliente: financiado por la plataforma. Suma un incremento de puntuación al coincidir.
Consulta a servicios de reputación premium solo en los eventos sospechosos. Claves cifradas con Fernet por tenant; sin claves compartidas de la plataforma, las consultas se realizan con tu propia cuota.
Se abordan las diez categorías OWASP de 2025: A01 control de acceso, A02 configuración insegura, A03 cadena de suministro, A04 criptografía, A05 inyección, A06 diseño, A07 autenticación, A08 integridad, A09 registro, A10 gestión de excepciones. El conjunto de patrones procede de OWASP CRS v4, plantillas de nuclei y PayloadsAllTheThings.
Identifica bots de OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com y más. El tenant elige bloquear, monitorizar o permitir por proveedor.
Gadgets JNDI de log4j (${jndi:ldap://...}), inyección LDAP, XML External Entity e inyección de operadores NoSQL al estilo de MongoDB: todo bloqueado en la ingesta de /shield/events antes de llegar a tu backend.
Vista de solo lectura de los 278 patrones que Shield ejecuta en cada solicitud, agrupados por categoría. Los clientes ven exactamente qué les protege: sin afirmaciones de marketing que verificar.
Haga clic en cualquier tarjeta para ampliarla y obtener la descripción completa y el modelo de amenaza.
A prueba de manipulaciones, encadenado mediante hash y firmado criptográficamente.
El registro de auditoría es la columna vertebral legal y forense de Shield. Diseñado para que incluso un administrador comprometido no pueda reescribir el historial sin que sea visible.
Cadena de hash SHA-256
Cada registro de auditoría lleva el hash SHA-256 del registro anterior más el evento actual canonicalizado. Eliminar o modificar cualquier evento pasado rompe todos los hash posteriores y la cadena rechaza la verificación.
Firma Ed25519 por inquilino
Cada inquilino tiene su propio par de claves Ed25519. La clave pública se expone para verificación independiente; la clave privada firma cada registro de auditoría en el momento de la escritura. Un volcado de base de datos filtrado no se puede falsificar sin la clave privada.
Anclaje de tiempo RFC 3161
Los cabezales de cadena se anclan periódicamente contra una autoridad de sellado de tiempo externa RFC 3161. Esto vincula el registro a la hora absoluta del reloj de pared y demuestra que la cadena existía en esa forma antes de la marca de tiempo.
Higiene de solo agregar funciones de base de datos
La función Shield_app solo tiene INSERTAR: ACTUALIZAR y ELIMINAR se REVOCAN en el nivel PostgreSQL. Incluso un atacante con credenciales completas del contexto de la aplicación no puede reescribir filas; necesitarían escalar a una función de base de datos de superusuario, que a su vez se audita en la capa de plataforma.
Verificar y exportar puntos finales
GET /shield/audit/verify vuelve a recorrer la cadena hash y valida cada firma; GET /shield/audit/export transmite un archivo JSON firmado y delimitado por líneas para auditores internos o externos. Ambos tienen un alcance de inquilino y una tarifa limitada.
Mapeo de cumplimiento
Proporciona evidencia técnica que solicitan los marcos de seguridad comunes (registro inmutable, integridad firmada, monitoreo, alineación GDPR Art. 32). Shield en sí no está certificado externamente: la exportación respalda su auditoría, no la reemplaza.
Captura de incidente en un clic, cifrada, fuera del sitio.
Cuando algo va mal, necesita una imagen inmutable del momento. Shield la produce en menos de un minuto y la sella para que solo su clave privada pueda abrirla.
¿Qué hay dentro de una instantánea?
- •Eventos de seguridad (sin procesar + decisiones + códigos de motivo)
- •Corte de registro de auditoría con cabezal de cadena + firma
- •Sesiones activas y señales a nivel de sesión.
- •Reglas activas e historial de versiones de reglas
- •Caché de inteligencia de amenazas y eventos de amenazas recientes
- •Sitios protegidos y su configuración HMAC
- •Configuración de inquilinos e indicadores de funciones
- •Eventos de plataforma (implementación/copia de seguridad/derivación)
- •Metadatos del contenedor (imagen, versión, huella digital del host)
Cifrado de sobre híbrido
Una clave de datos AES-256-GCM de un solo uso cifra la carga útil. La clave de datos se empaqueta con RSA-OAEP-SHA256 con la clave pública del inquilino. Sólo el poseedor de la clave privada puede recuperar la clave AES y descifrar el paquete. La infraestructura Shield no puede leer instantáneas pasadas después de que salen del contenedor de producción.
Almacenamiento y operaciones
Las instantáneas se cargan en cualquier tienda compatible con S3 (AWS, Wasabi, MinIO, on-prem). El cron semanal opcional archiva automáticamente una instantánea nueva para una preparación forense continua. El objetivo de MTTR desde el activador hasta el archivo cargado y sellado es de aproximadamente 60 segundos.
Superficie de API
POST /shield/forensic/snapshot activa una nueva instantánea; GET /shield/forensic/snapshots enumera los existentes con metadatos, tamaño y estado sellado. Ambos tienen alcance de administrador y producen eventos de auditoría a nivel de plataforma.
Compliance y auditabilidad sin promesas excesivas.
Shield proporciona evidencia técnica, registros y mapeos. Las certificaciones formales o las atestaciones del cliente dependen del alcance de implementación específico.
Pista de auditoría lista para el auditor
Shield produce registros de auditoría, motivos de decisión y exportaciones que pueden respaldar la revisión de seguridad y cumplimiento. La certificación o atestación formal se confirma individualmente según el alcance del cliente.
Soporte de evidencia del auditor
Los controles técnicos se pueden asignar a su marco de auditoría interna. El propio Shield no está certificado externamente.
MITRE ATT&CK
Las detecciones se pueden asignar a técnicas MITRE ATT&CK relevantes, especialmente acceso inicial, acceso a credenciales, exfiltración y comando y control.
OWASP OAT
Shield cubre múltiples clases de amenazas automatizadas de OWASP OAT. Se proporciona un mapeo detallado a los clientes en materiales técnicos.
Ataques al coste de inferencia (RA-ICA): la cartera es ahora el objetivo
Una clase de ataque revisada por pares en 2026 (Hong Kong Polytechnic University) que no toca tus datos ni tu disponibilidad: multiplica de forma silenciosa tu factura de IA.
Un atacante coloca un documento envenenado en la web pública. Tu asistente RAG lo recupera para una consulta corriente y el modelo consume muchos más tokens: la respuesta sigue siendo correcta, así que nada parece ir mal hasta que llega la factura.
Tres tácticas (marco CREEP)
Acertijos ocultos de matemáticas, lógica o planificación que el modelo resuelve sin advertirlo en pleno razonamiento, consumiendo tokens.
Hechos mutuamente contradictorios que empujan al modelo a un razonamiento excesivo y generaciones largas.
Una IA atacante optimiza el texto para maximizar el coste, manteniéndose discreta y evadiendo la detección.
Cómo lo detiene Shield, en cada fase
| Fase del ataque | Defensa de Shield | Efecto |
|---|---|---|
| 1 · El documento malicioso debe ser recuperado | El filtro de relevancia y los umbrales mantienen fuera del contexto los documentos poco relevantes o inyectados de forma forzada. | Filtra el envenenamiento oportunista. |
| 2 · Instrucciones ocultas en el documento | Saneamiento del contenido recuperado (etiquetado como dato, «tratar solo como texto») + separación de fuentes no confiables. | El modelo ignora las tareas incrustadas. |
| 3 · Inflación de tokens de salida (el núcleo) | Límite estricto de tokens de salida por solicitud + gestión del presupuesto de contexto (límite a la proporción dedicada a la recuperación, deduplicación). | La amplificación de 13× queda acotada. |
| 4 · Coste acumulado entre solicitudes (DoW) | Limitación de tasa progresiva + presupuestos por sesión (tokens / coste / tiempo) + telemetría de puntuación de confianza del agente. | Un bot no puede escalar el ataque. |
El núcleo de RA-ICA es la inflación de salida (en el estudio, ~100 → 2,048 tokens). El límite estricto de tokens de salida por solicitud de Shield es precisamente lo que rompe la amplificación que hace rentable el ataque.
Una sola capa de defensa, toda la familia de amenazas de LLM (OWASP LLM Top 10)
RA-ICA se sitúa en la intersección de dos familias de ataque que Shield ya cubre: la misma capa protege contra todo el espectro.
| Clase de ataque | Cómo responde Shield |
|---|---|
| Coste de inferencia / Denial-of-Wallet | Límite de tokens de salida, presupuesto de contexto, limitación de tasa, presupuestos por sesión, patrones de agotamiento de recursos. |
| Envenenamiento de base de conocimiento / RAG | Saneamiento del contenido recuperado, filtro de relevancia, separación de fuentes confiables y no confiables. |
| Inyección de prompts (directa e indirecta) | Reglas por patrones + cortafuegos semántico; las inyecciones indirectas ocultas en documentos quedan neutralizadas. |
| Jailbreak (DAN, modo desarrollador, juego de roles) | Las reglas y el cortafuegos semántico detectan variantes ofuscadas y parafraseadas por su significado. |
| Fuga del prompt de sistema / configuración | Escaneo de entrada y salida; los intentos de extracción se bloquean y las fugas se ocultan en la salida. |
| Exfiltración de datos / PII | Escaneo de salida: contraseñas, claves de API, JWT, claves privadas, identificadores y contactos se detectan y se ocultan. |
| Abuso de herramientas / acciones | Inspección de los argumentos de las herramientas y una lista de operaciones peligrosas (ejecución de código, eliminación, acceso a archivos). |
| Ofuscación / codificación (Base64, ROT13, hex) | Detección de cargas útiles codificadas e intentos de contrabando de tokens. |
| Suplantación de autoridad | Detecta manipulaciones del tipo «soy tu desarrollador / administrador / prueba oficial». |
Capas independientes: si una falla, no cae el conjunto.
La protección no es un único filtro. Son varias capas independientes.
Guardia de entrada
Patrones de reglas en 6 familias (inyección de prompts, jailbreak, abuso de herramientas, envenenamiento de memoria, fuga de datos, agotamiento de recursos). Se ejecuta antes del modelo.
Cortafuegos semántico
Más de 100 patrones de ataque curados en 16 tipos (incluido Denial-of-Wallet explícito), a nivel de significado (embeddings): detecta paráfrasis y ofuscación.
Guardarraíles de RAG
Saneamiento del contenido recuperado, filtro de relevancia, separación de fuentes no confiables, deduplicación y presupuesto de contexto.
Límite de tokens de salida
Límite estricto de longitud de generación por solicitud, ajustado a la tarea y al modelo.
Guardia de salida
Ocultación de fugas: credenciales, claves de API, JWT, claves privadas, PII; funciona también sobre respuestas en streaming.
Presupuestos por sesión
Límites de tokens, coste, tiempo y llamadas a herramientas dentro de una misma sesión.
Limitación de tasa
Por IP / dispositivo / endpoint, progresiva (monitorizar → ralentizar → desafiar → bloquear).
Telemetría y auditoría
Seguimiento del gasto de tokens y de la puntuación de confianza del agente, webhooks de amenazas y un registro de auditoría a prueba de manipulaciones.
Integra Shield como lo necesites.
Despliega según lo que necesites proteger.
LLM Proxy (drop-in)
Cambia una sola base_url para OpenAI / Anthropic. Shield escanea la entrada (bloquea antes del proveedor) y la salida (oculta fugas). Conserva tu clave de API, el streaming y las llamadas a herramientas.
Scan API
Endpoints para escanear entrada, salida y llamadas a herramientas, con integración a medida en tu pipeline existente.
Protección de RAG
Saneamiento, filtro de relevancia y separación de fuentes directamente en tu pipeline de chat / RAG.
Widget web
Protege formularios, inicios de sesión y APIs frente a bots y abusos (capa clásica de WAF + bots).
Informe técnico
Documento técnico detallado que incluye diagramas de integración, modelos de amenazas y puntos de referencia de rendimiento.
Aviso sobre el alcance de la protección. Corpilus Shield es una capa de protección AI en tiempo real diseñada para extender los mecanismos de seguridad estándar para sitios web, tiendas electrónicas y aplicaciones LLM, no para reemplazarlos. No reemplaza el antivirus, el firewall, las pruebas de penetración ni una auditoría de seguridad formal. Para una protección integral, recomendamos combinar varias capas.