Una vulnerabilidad deja expuestos los datos privados de los usuarios de la IA

Investigadores estadounidenses han identificado la primera vulnerabilidad de hardware que permite a los atacantes comprometer la privacidad de los datos de los usuarios de Inteligencia Artificial (IA), explotando el hardware físico en el que se ejecuta el modelo y poniendo en riesgo los datos de entrenamiento.

Especialistas de la Universidad Estatal de Carolina del Norte, en Estados Unidos, han identificado una vulnerabilidad de hardware, denominada GATEBLEED, que permite a un atacante inferir qué datos se utilizaron para entrenar modelos de Inteligencia Artificial (IA) y filtrar otra información privada, incluso sin tener acceso directo a la memoria del sistema.

Riesgos en alza en la era de la IA

El hallazgo, desarrollado en un nuevo estudio publicado en arXiv, aumenta la preocupación sobre nuevas vías de fuga de privacidad en ecosistemas de IA, que son cada vez más dependientes de aceleradores de hardware para poder hacer frente a las nuevas necesidades de los usuarios.

Según el estudio, la técnica explota la práctica conocida como "power gating", que usa aceleradores integrados en los centros de procesamiento de los ordenadores y otros dispositivos. Ese mecanismo apaga o enciende segmentos del chip para ahorrar energía: los investigadores demostraron que los cambios en los tiempos de ejecución dejan una huella medible, que puede distinguir si una entrada fue o no parte del conjunto de entrenamiento.

Con esa señal de temporización, un programa sin permisos puede alcanzar una precisión de inferencia elevada y, en algunos casos, identificar qué “experto” respondió. El equipo de investigadores presentó su trabajo como prueba de concepto y mostró resultados preocupantes: tasas de acierto elevadas en ataques y la capacidad de convertir el canal de temporización en un “canal encubierto” remoto, incluso eludiendo detectores existentes. El nuevo estudio será expuesto en la conferencia IEEE/ACM MICRO 2025, programada del 18 al 22 de octubre en Seúl.

Una amenaza real

Desde el punto de vista técnico, los autores advierten que las defensas clásicas orientadas al software no detendrán por completo una fuga que nace en decisiones de diseño de hardware. Las soluciones factibles, como el rediseño de chips, el microcódigo o las defensas a nivel de sistema operativo, conllevan costes elevados, retrasos en rendimiento, mayor consumo energético y extensión de plazos de lanzamiento de nuevos productos.

Según una nota de prensa, desde el punto de vista legal la amenaza podría servir para demostrar que una compañía entrenó modelos con datos para los que no tenía permiso, abriendo riesgos de responsabilidad.

Este hallazgo se suma a una tendencia más amplia: en 2025, la IA y sus infraestructuras están cada vez más presentes en el radar de agencias y entes de seguridad informática, que la describen como un elemento central del escenario de posibles amenazas en ciberseguridad.

En ese sentido, los expertos insisten en que la protección de la cadena de valor de la IA, que incluye datos, modelos, hardware e infraestructura, requiere una estrategia transversal que combine buenas prácticas, auditorías y colaboración entre fabricantes, proveedores de servicios y reguladores.