Herramientas open source de Microsoft comprometidas para robar credenciales de desarrolladores IA

Un ataque de cadena de suministro sofisticado ha comprometido paquetes del ecosistema open source de Microsoft, con un objetivo muy específico: las credenciales de desarrolladores que trabajan con modelos de inteligencia artificial. La investigación, publicada hoy por TechCrunch a partir de un informe de seguridad de Zack Whittaker, revela que los atacantes inyectaron código malicioso en herramientas ampliamente usadas por el ecosistema de desarrollo de IA.

El vector de ataque

Los atacantes comprometieron la cadena de publicación de al menos tres paquetes de herramientas open source mantenidas bajo la organización de Microsoft en GitHub. El código malicioso inyectado no era genérico: estaba diseñado específicamente para buscar y exfiltrar variables de entorno y ficheros de configuración que contuvieran patrones de credenciales específicos de servicios de IA.

Las claves objetivo incluían:

• Claves de API de OpenAI (OPENAI_API_KEY)
• Tokens de Anthropic (ANTHROPIC_API_KEY)
• Credenciales de AWS Bedrock
• Tokens de acceso de Hugging Face
• Claves de Azure OpenAI Service

El código exfiltraba las credenciales encontradas a un servidor de comando y control antes de ejecutar la funcionalidad legítima del paquete, haciendo que el comportamiento malicioso fuera difícil de detectar en ejecución normal.

Por qué los desarrolladores de IA son el nuevo objetivo

Este ataque no es accidental. Los desarrolladores que trabajan con LLMs representan un target de alto valor por varias razones.

Créditos de API con alto valor económico. Una clave de OpenAI comprometida puede usarse para consumir créditos de inferencia de forma masiva —los mismos que el propietario pagará en su factura a fin de mes—. El mercado negro de claves de API de modelos de IA tiene precios que reflejan este valor.

Acceso a infraestructura sensible. Las mismas credenciales de AWS o Azure que se usan para Bedrock o Azure OpenAI suelen tener permisos más amplios sobre la infraestructura cloud del desarrollador o la empresa.

Volumen y concentración. La popularidad de las herramientas de Microsoft en el ecosistema de desarrollo de IA —especialmente en el espacio de agentes y automation— significa que un solo paquete comprometido puede afectar a decenas de miles de instalaciones.

Qué hacer si usas estas herramientas

Si tienes alguno de los paquetes afectados instalados (Microsoft publicará la lista definitiva en las próximas horas), los pasos inmediatos son:

1. Rotar todas las claves de API de servicios de IA que estuvieran en variables de entorno o ficheros de configuración en el sistema donde estaban instalados los paquetes
2. Revisar los logs de uso de tus cuentas de OpenAI, Anthropic y AWS Bedrock para detectar consumo anómalo
3. Actualizar los paquetes a las versiones parcheadas que Microsoft está publicando
4. Auditar los permisos de las claves comprometidas y reducirlos al mínimo necesario

El problema estructural del open source en IA

Este incidente pone de manifiesto un problema que el sector lleva tiempo ignorando: la cadena de suministro del software de IA no está auditada al mismo nivel que su capacidad técnica. Los equipos dedican semanas a evaluar si un modelo tiene sesgos o alucinaciones, pero confían ciegamente en los paquetes de infraestructura que lo rodean.

La adopción masiva de herramientas de IA ha creado una nueva superficie de ataque enorme, con credenciales de alto valor distribuidas en miles de entornos de desarrollo que no aplican las mismas prácticas de seguridad que los entornos de producción.

El incidente de hoy no será el último.