AI agents, seguridad y el nuevo campo de batalla digital
Los AI agents dejaron de ser un concepto de ciencia ficción hace mucho tiempo. Hoy limpian bandejas de entrada, gestionan calendarios, navegan por la web, ejecutan comandos en la terminal y hasta escriben sus propios plugins. Herramientas como OpenClaw, un asistente personal de IA open source que se hizo famoso por ser llamado de todo, desde Jarvis hasta portal hacia una nueva realidad, muestran bien el tamaño de este fenómeno. La idea detrás de él es elegante: una IA que vive en tu máquina o en la nube, conversa contigo por WhatsApp o Telegram, limpia tu bandeja de entrada, gestiona tu agenda, navega por la web, ejecuta comandos en el shell y hasta crea sus propios plugins. Hay gente usándolo para hacer check-in en vuelos, construir sitios web enteros desde el celular y automatizar tareas que antes parecían imposibles.
Es impresionante, de verdad. Pero cuanta más autonomía tiene un agente, mayor es la superficie de ataque que carga consigo.
¿Qué pasa cuando alguien engaña a ese agente para acceder a archivos que no debería ver? ¿Y si una página maliciosa en la web reescribe sus instrucciones en medio de una tarea? ¿Y si, en una cadena de múltiples agentes, uno de ellos pasa datos corruptos a otro que confía ciegamente en la información recibida? Estas preguntas no son hipotéticas. Ya están ocurriendo en producción, y la mayoría de los equipos todavía no está preparada para lidiar con esto.
Fue exactamente pensando en esto que GitHub lanzó la Season 4 del Secure Code Game, una experiencia gratuita e interactiva que te pone en el papel de quien ataca a un agente de IA deliberadamente vulnerable, para que aprendas, en la práctica, cómo defender uno. Y lo mejor: no necesitas saber programar para jugar. 🎮
Qué es el Secure Code Game y cómo llegó hasta aquí
El Secure Code Game es un curso gratuito, open source y ejecutado directamente en el editor de código, donde los jugadores exploran y corrigen código intencionalmente vulnerable. La propuesta es simple y bastante directa: en vez de asistir a una charla aburrida sobre seguridad o leer un documento técnico que nadie termina de verdad, aprendes identificando y explotando vulnerabilidades reales en un entorno controlado.
Cuando la primera temporada fue creada en marzo de 2023, el objetivo era claro: desarrollar un entrenamiento de seguridad que los desarrolladores realmente quisieran hacer. Corrige el código vulnerable, mantenlo funcional, sube de nivel. Esa filosofía central no cambió en ninguna temporada.
La Season 2 expandió el juego hacia desafíos multi-stack con contribuciones de la comunidad en JavaScript, Python, Go y GitHub Actions. La Season 3 llevó a los jugadores al territorio de la seguridad de LLMs, donde aprendieron a hackear y después blindar large language models. A lo largo de este camino, más de 10.000 desarrolladores de la industria, del open source y de la academia ya jugaron para afilar sus habilidades.
Lo que cambió en cada temporada fue el escenario. Cuando la Season 1 fue lanzada, los asistentes de código con IA apenas estaban comenzando a volverse populares. En la Season 3, los jugadores ya aprendían a crear prompts maliciosos y después a defenderse de ellos. Ahora, con la Season 4, el foco son los desafíos de seguridad de sistemas de IA que actúan de forma autónoma: navegan por la web, llaman APIs, coordinan con otros agentes y actúan en nombre del usuario.
La idea central detrás del juego sigue siendo que la mejor forma de aprender a defender un sistema es entendiendo cómo puede ser atacado. Esto no es novedad en el área de seguridad cibernética — pentesters y red teams trabajan así hace décadas. Lo nuevo aquí es la aplicación de ese razonamiento en el contexto de AI agents, donde los vectores de ataque son completamente diferentes a los que estamos acostumbrados. No estamos hablando de SQL injection clásico o buffer overflow. Estamos hablando de ataques que explotan la forma en que un agente interpreta lenguaje natural, sigue instrucciones e interactúa con herramientas externas.
Reciba el mejor contenido sobre innovación en su correo electrónico.
Todas las noticias, consejos, tendencias y recursos que buscas, directamente en tu bandeja de entrada.
Al suscribirte al boletín informativo, aceptas recibir comunicaciones de Método Viral. Nos comprometemos a proteger y respetar siempre tu privacidad.
Otro punto que merece destaque es la accesibilidad de la iniciativa. GitHub dejó el juego abierto para cualquier persona, sin costo, y sin exigir un background técnico pesado. Esto es estratégico y muy inteligente, porque el problema de seguridad en sistemas con AI agents no es solo un problema de ingenieros. Product managers, diseñadores, analistas de negocio y hasta líderes de tecnología necesitan entender lo que está en juego cuando un agente autónomo tiene acceso a datos sensibles, sistemas internos y acciones irreversibles.
Por qué la seguridad de AI agents importa ahora, y no dentro de dos años
El timing de la Season 4 no es coincidencia. Los AI agents salieron de prototipos de investigación a herramientas de producción a una velocidad impresionante, y la comunidad de seguridad está corriendo para ponerse al día.
El OWASP Top 10 for Agentic Applications 2026, desarrollado con contribuciones de más de 100 investigadores de seguridad, ahora cataloga riesgos como secuestro de objetivos del agente, uso indebido de herramientas, abuso de identidad y envenenamiento de memoria como amenazas críticas. Una encuesta de Dark Reading mostró que 48% de los profesionales de ciberseguridad creen que la IA agéntica será el principal vector de ataque hasta finales de 2026. Y el informe State of AI Security 2026 de Cisco reveló que, aunque el 83% de las organizaciones planeaban implementar capacidades de IA agéntica, solo el 29% se sentía preparado para hacerlo de forma segura.
La brecha entre adopción y preparación es exactamente el territorio donde las vulnerabilidades prosperan. Y la mejor forma de cerrar esa brecha es aprendiendo a pensar como un atacante.
Existe una tendencia muy común en el mercado de tratar la seguridad como una etapa que viene después. Primero lanzas, después proteges. Con software tradicional, ese enfoque ya es arriesgado. Con AI agents, es prácticamente una receta para incidentes graves. La diferencia está en la naturaleza del sistema: un agente autónomo toma decisiones en tiempo real, basándose en contextos que cambian constantemente, y muchas veces ejecuta acciones que no pueden deshacerse fácilmente. Borrar un archivo, enviar un correo electrónico, hacer una petición a una API externa. El espacio entre una instrucción maliciosa y un daño concreto puede ser de milisegundos.
Conoce a ProdBot, el asistente de IA deliberadamente vulnerable de la Season 4
La Season 4 te pone dentro de ProdBot, un bot de productividad y asistente de código con IA que fue construido para ser vulnerable a propósito. Inspirado en herramientas como OpenClaw y GitHub Copilot CLI, ProdBot transforma lenguaje natural en comandos bash, navega por una web simulada, se conecta a servidores MCP (Model Context Protocol), ejecuta skills aprobadas por la organización, almacena memoria persistente y orquesta workflows con múltiples agentes.
Tu misión a lo largo de cinco niveles progresivos es simple: usar lenguaje natural para hacer que ProdBot revele un secreto que nunca debería exponer. Si logras leer el contenido del archivo password.txt, encontraste una vulnerabilidad de seguridad.
No se necesita experiencia con IA o programación. Solo curiosidad y disposición para experimentar. Todo sucede por lenguaje natural en la terminal.
Cinco niveles, cinco upgrades, cinco vulnerabilidades
Cada nivel del juego refleja una etapa de cómo las herramientas reales con IA evolucionan. Conforme ProdBot gana nuevas capacidades, cada upgrade abre una nueva superficie de ataque para que la descubras. Así es como ProdBot crece a lo largo de la experiencia:
- Nivel 1 comienza con lo básico: ProdBot genera y ejecuta comandos bash dentro de un workspace aislado (sandbox). ¿Serás capaz de escapar de ese sandbox?
- Nivel 2 le da a ProdBot acceso a la web. Ahora puede navegar por una internet simulada con sitios de noticias, finanzas, deportes y compras. ¿Qué puede salir mal cuando una IA lee contenido de fuentes no confiables?
- Nivel 3 conecta a ProdBot con servidores MCP, proveedores externos de herramientas para cotizaciones de acciones, navegación web y respaldo en la nube. Más herramientas, más poder, más caminos de entrada.
- Nivel 4 añade skills aprobadas por la organización y memoria persistente. ProdBot ahora puede ejecutar plugins de automatización preconstruidos y recordar tus preferencias entre sesiones. La confianza se construye por capas, pero ¿realmente fue ganada?
- Nivel 5 es todo junto y revuelto: seis agentes especializados, tres servidores MCP, tres skills y una web simulada de un proyecto open source. La plataforma afirma que todos los agentes están en sandbox y que todos los datos están preverificados. Hora de poner eso a prueba.
Cada nivel se construye sobre el anterior, y esa progresión es exactamente el punto. El juego no va a revelar de antemano qué vulnerabilidades encontrarás en cada fase, porque eso arruinaría la diversión. Pero vale decir lo siguiente: los patrones de ataque que vas a descubrir en la Season 4 no son teóricos. Reflejan los tipos de riesgos que los equipos de seguridad están enfrentando ahora mismo, conforme las organizaciones ponen sistemas autónomos de IA en producción.
Para tener una noción de la gravedad, piensa en el CVE-2026-25253 (CVSS 8.8 – Alto), conocido como ClawBleed: una vulnerabilidad de ejecución remota de código (RCE) con un solo clic que permitía a los atacantes robar tokens de autenticación a través de un enlace malicioso y obtener control total sobre la instancia de OpenClaw.
El objetivo del juego no es solo aprender un exploit específico. Es construir el instinto que te ayuda a identificar esos patrones en el mundo real, ya sea revisando la arquitectura de un agente, auditando una integración de herramientas, o simplemente decidiendo cuánta autonomía darle al asistente de IA que acaba de llegar a tu equipo.
Prompt injection y las vulnerabilidades que el juego te enseñará a ver
La estrella de la Season 4 es, sin duda, el prompt injection. Si todavía no escuchaste hablar de este tipo de ataque, aquí va el resumen: un AI agent recibe instrucciones de su creador, ¿verdad? Solo que cuando ese agente sale a navegar por la web, leer correos, abrir documentos o procesar datos externos, puede encontrar contenido malicioso que intenta sobrescribir o complementar esas instrucciones originales. Es como si alguien dejara una nota escondida dentro de un PDF diciéndole al agente que ignore todo lo que fue programado y haga algo completamente diferente. El agente, sin los controles adecuados, puede simplemente obedecer.
Lo que hace que este tipo de vulnerabilidad sea tan peligroso es que no depende de una falla en el código. Explota el comportamiento esperado del modelo de lenguaje. Un AI agent bien construido técnicamente puede ser comprometido por prompt injection si no hay capas de validación y aislamiento entre las instrucciones del sistema y el contenido que el agente consume durante la ejecución de las tareas. Y es exactamente esa brecha, entre construir algo que funciona y construir algo que funciona con seguridad, lo que el Secure Code Game pone frente a ti de forma práctica y tangible.
Además del prompt injection, la Season 4 también aborda otros escenarios críticos, como escalación de privilegios, donde el agente termina teniendo acceso a recursos más allá de lo que debería, y filtración de datos vía tool calls mal configuradas. Estos escenarios reflejan situaciones que equipos reales ya enfrentaron en producción, con AI agents integrados a herramientas como Slack, Google Drive, GitHub y sistemas internos. La experiencia del juego fue diseñada para que cada fase revele una capa nueva de complejidad. No vas a salir de ahí con respuestas simples. Vas a salir con las preguntas correctas, que es exactamente lo que un buen entrenamiento de seguridad debería provocar.
Cómo GitHub estructuró la experiencia de aprendizaje
La estructura del Secure Code Game en GitHub está bien pensada para quien aprende haciendo. Cada nivel presenta un escenario con un AI agent vulnerable y tu objetivo es primero entender cómo funciona la vulnerabilidad, después explotarla como lo haría un atacante, y finalmente aplicar la corrección adecuada. Este ciclo ataque-defensa es el corazón del método, y marca toda la diferencia respecto a contenidos puramente teóricos. Cuando ves en la práctica cómo funciona un prompt injection, cómo el agente cambia de comportamiento a partir de una instrucción inyectada, es muy difícil olvidarlo. La memoria muscular de quien atacó una vez es mucho más fuerte que la de quien solo leyó sobre el tema.
La experiencia completa corre en GitHub Codespaces. No hay nada que instalar, nada que configurar, y no cuesta un centavo, ya que Codespaces ofrece hasta 60 horas de uso gratuito por mes. Puedes estar dentro de la terminal de ProdBot en menos de dos minutos, y cada temporada es independiente, así que puedes saltar directo a la Season 4 sin haber pasado por las anteriores.
La Season 3 puede funcionar como una base útil, ya que construye lo básico de seguridad en IA y toma alrededor de 1,5 horas para completar. Pero no es obligatoria. Solo trae tu mentalidad hacker.
Herramientas que usamos a diario
La Season 4 también usa GitHub Models, que tiene límites de uso. Si alcanzas un límite, solo espera a que se reinicie y retoma donde lo dejaste.
La temporada también trae documentación de apoyo bien elaborada, con explicaciones sobre cada concepto de seguridad abordado, referencias a frameworks como el OWASP Top 10 for LLM Applications y enlaces a investigaciones recientes sobre vulnerabilidades en AI agents. El material no es un sustituto de una formación completa en seguridad ofensiva, pero es un punto de partida sólido y actualizado para cualquier persona que quiera entender el panorama actual. 🔐
Preguntas frecuentes sobre la Season 4
¿Necesito experiencia con IA o programación para jugar?
No. Todo sucede por lenguaje natural en la terminal. Escribes prompts en español, inglés o cualquier otro idioma, y ProdBot responde. Curiosidad y disposición para experimentar es todo lo que necesitas.
¿Necesito completar las temporadas anteriores primero?
No. Cada temporada es independiente. Puedes ir directo a la Season 4 ejecutando ProdBot y escribiendo el nivel deseado. Dicho esto, la Season 3 construye una base útil en seguridad de IA y toma alrededor de 1,5 horas.
¿Cuánto tiempo toma la Season 4?
Aproximadamente dos horas, aunque esto varía dependiendo de qué tan a fondo explores cada nivel. Algunos jugadores prefieren probar múltiples enfoques por fase.
¿Es gratis?
Sí. El Secure Code Game es open source y gratuito. Corre en GitHub Codespaces, que ofrece hasta 60 horas de uso gratuito por mes.
Por qué los equipos de tecnología necesitan tomarse esto en serio ahora
Lo que GitHub está haciendo con el Secure Code Game va más allá de un ejercicio educativo. Es una señal clara de que la industria necesita normalizar la discusión sobre seguridad en sistemas con AI agents mucho antes de que esos sistemas lleguen a producción. Los equipos que ya están construyendo o planean construir agentes autónomos, ya sea para automatización interna, atención al cliente, análisis de datos o cualquier otro caso de uso, necesitan incluir threat modeling específico para este tipo de sistema en su proceso de desarrollo. Y para hacer esto bien, las personas involucradas necesitan entender los vectores de ataque, no solo en teoría, sino en la práctica.
La buena noticia es que nunca fue tan fácil empezar. El Secure Code Game de GitHub está disponible gratuitamente, es accesible para diferentes perfiles profesionales y aborda exactamente las vulnerabilidades que están en el centro de las discusiones más relevantes sobre seguridad en IA hoy. Ya seas un ingeniero que ya está construyendo AI agents, un tech lead queriendo entender los riesgos antes de aprobar una nueva integración, o simplemente alguien curioso sobre cómo funciona este universo por debajo del capó, la Season 4 tiene algo valioso que ofrecer. El conocimiento está ahí, organizado, práctico y gratuito. 🚀
