MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) es una base de conocimiento estructurada que recopila tácticas, técnicas y estudios de caso de adversarios dirigidos a sistemas de IA y aprendizaje automático. Se puede considerar como una extensión específica para IA de MITRE ATT&CK, aplicada no a redes y puntos finales, sino a flujos de datos, API de inferencia de modelos, procesos de entrenamiento y las herramientas de IA que sus empleados utilizan a diario. A fecha de 2026, ATLAS documenta 16 tácticas, 170 técnicas, 35 medidas de mitigación y 57 estudios de caso reales.
¿Qué es MITRE ATLAS y qué problema resuelve?
Durante dos décadas, MITRE ATT&CK proporcionó a los defensores un lenguaje común para comprender el comportamiento de los adversarios. Catalogó cómo los atacantes se mueven por las redes, escalan privilegios y extraen datos. Funcionó porque la superficie de ataque era relativamente estable: puntos finales, servidores, protocolos de red y credenciales.
La IA lo cambió todo. Cuando Microsoft lanzó Tay en 2016, el ataque que lo derribó en 24 horas no explotó ninguna vulnerabilidad CVE. No se robaron credenciales. No se vulneró ninguna red. Los atacantes simplemente introdujeron datos a través de la interfaz que el sistema estaba diseñado para aceptar, y el propio mecanismo de aprendizaje del modelo los utilizó en su contra. ATT&CK no tenía ninguna categoría para ello.
MITRE ATLAS cubre precisamente esa brecha. Este marco documenta cómo los atacantes se dirigen específicamente a los sistemas de IA: manipulando datos de entrenamiento, abusando de las API de inferencia, inyectando mensajes maliciosos, alterando los resultados de los modelos y explotando las relaciones de confianza que los agentes de IA autónomos mantienen dentro de la infraestructura empresarial. Proporciona a los equipos de seguridad una taxonomía estructurada para identificar amenazas, modelar rutas de ataque y asignar controles a la capa de IA de su arquitectura.
ATLAS es mantenido por el Centro de Defensa Basada en Amenazas de MITRE y se actualiza continuamente con base en informes de incidentes reales. La actualización v5.1.0 de noviembre de 2025 amplió significativamente la cobertura. La primera actualización de 2026 incorporó nuevas técnicas de IA con agentes, lo que refleja la rápida transición de herramientas de IA que asisten a los usuarios a agentes de IA que actúan en su nombre.
¿En qué se diferencia MITRE ATLAS de MITRE ATT&CK?
ATLAS y ATT&CK son complementarios, no competitivos. ATT&CK cubre la superficie de ataque tradicional: acceso inicial mediante phishing, movimiento lateral mediante abuso de credenciales y exfiltración a través de canales de comando y control. ATLAS hereda 13 tácticas directamente de ATT&CK y las aplica a contextos específicos de IA, además de añadir tres tácticas sin equivalente en ATT&CK.
La principal diferencia estructural radica en el objetivo del ataque. ATT&CK modela ataques contra infraestructura. ATLAS modela ataques contra sistemas de IA: el modelo en sí, los datos con los que se entrenó, la API que expone y las decisiones que toma. Un ataque de inyección instantánea contra ChatGPT no afecta a la red, sino al proceso de razonamiento del modelo. ATT&CK no dispone de ninguna técnica para ello. ATLAS sí.
En la práctica, la mayoría de los entornos empresariales necesitan ambos. ATT&CK sigue siendo el marco adecuado para el movimiento lateral, el ransomware y el compromiso de los endpoints. ATLAS se vuelve esencial en el momento controles de uso de IA Forman parte del flujo de trabajo, algo que, para la mayoría de los trabajadores del conocimiento, ya es habitual. Según un estudio de LayerX, el 45 % de los empleados de empresas utilizan activamente herramientas de IA. Los marcos de seguridad que ignoran la capa de IA dejan sin mapear una amplia y activa superficie de ataque.
La otra diferencia significativa radica en el ritmo de actualización. ATLAS se actualiza más rápido que ATT&CK porque el panorama de amenazas de IA evoluciona con mayor rapidez. Técnicas como los navegadores de IA con agentes, la obtención de credenciales de agentes de IA y los canales de comando y control basados en LLM aparecieron en ATLAS antes de que la mayoría de los equipos de seguridad hubieran finalizado la evaluación de su primer despliegue de ChatGPT.
¿Qué tácticas y técnicas abarca MITRE ATLAS?
ATLAS organiza el comportamiento del adversario en 16 tácticas, cada una de las cuales representa una fase u objetivo en un ataque contra un sistema de IA. El marco hereda tácticas conocidas de ATT&CK y las aplica a contextos de IA. Tres tácticas no tienen equivalente en ATT&CK:
Puesta en escena de ataques de aprendizaje automático Abarca el trabajo de preparación específico para ataques de IA: la creación de modelos proxy, el entrenamiento de datos adversarios y la preparación de una infraestructura de ataque que imite el sistema de IA objetivo.
Acceso al modelo ML Cubre los métodos que utilizan los adversarios para interactuar con un modelo de IA, ya sea a través de una API pública, un punto final interno comprometido o el acceso físico a los artefactos del modelo.
Ataques a modelos de aprendizaje automático Abarca los ataques directos al comportamiento del modelo: evasión, inferencia, inversión y envenenamiento.
Dentro de estas tácticas, varias técnicas aparecen con mayor frecuencia en los informes de incidentes empresariales. La inyección instantánea (AML.T0051) encabeza la lista. La exfiltración de datos a través de un modelo de IA (AML.T0025) documenta cómo se puede extraer o exponer información confidencial enviada a una herramienta de IA. El compromiso de la cadena de suministro para ML (AML.T0010) abarca los ataques contra las bibliotecas, los conjuntos de datos y los modelos de terceros que las organizaciones integran en sus flujos de trabajo de IA. Para una visión más profunda de cómo se relacionan estos riesgos con Seguridad GenAI En cuanto a los controles, la investigación de LayerX proporciona un desglose a nivel profesional.
¿Qué técnicas de MITRE ATLAS son las más relevantes para el uso de la IA en las empresas?
La mayoría de los debates sobre ATLAS se centran en ataques a nivel de modelo: ejemplos adversarios, extracción de modelos y manipulación de datos de entrenamiento. Estas son amenazas reales para las organizaciones que desarrollan y operan modelos de IA. Para la mayoría de las empresas, la exposición inmediata es diferente. Su riesgo en materia de IA no reside en la arquitectura del modelo, sino en la forma en que los empleados interactúan diariamente con las herramientas de IA.
El 77 % de los empleados de las empresas copian y pegan datos en las solicitudes de GenAI. La mitad de esta actividad incluye datos corporativos. El 89 % de los inicios de sesión de IA en entornos empresariales eluden la supervisión corporativa, ya que los usuarios acceden a ChatGPT, Copilot, Claude y Gemini a través de cuentas personales que el departamento de TI nunca ha autorizado y que, por lo tanto, no puede supervisar.
Las técnicas ATLAS más relevantes para esta realidad:
AML.T0051 — Inyección inmediata: Los atacantes insertan instrucciones maliciosas en el contenido que procesa el modelo de IA. En entornos empresariales que utilizan Copilot o herramientas de correo electrónico con asistencia de IA, esto no requiere acceso especial; basta con que un atacante pueda presentar contenido a una IA en la que el usuario objetivo confía. Prevención del mal uso de la IA Los controles abordan esto en la capa de sesión.
AML.T0025 — Exfiltración mediante modelo de IA: Los datos confidenciales enviados a una herramienta de IA son prácticamente invisibles para la prevención de pérdida de datos (DLP) a nivel de red, ya que se transmiten como tráfico HTTPS normal a un destino autorizado. Este es el problema principal. DLP de IA Está diseñado para resolver.
AML.T0098 — Recopilación de credenciales de herramientas de agentes de IA: Una incorporación a ATLAS en 2026. Cuando un agente tiene acceso persistente a SharePoint, OneDrive o CRM, comprometer la seguridad del agente equivale a comprometer directamente esas herramientas.
AML.T0100 — Agente de IA Clickbait: Los adversarios crean páginas web, documentos o elementos de interfaz de usuario diseñados para manipular la toma de decisiones del agente de IA. El agente obedece las instrucciones que parecen estar alineadas con la tarea, incluso cuando son malintencionadas.
¿Dónde se ejecutan realmente las amenazas de MITRE ATLAS en el entorno empresarial?
Esta es la pregunta que la mayoría de los que explican el funcionamiento de ATLAS evitan, y es la más importante desde el punto de vista operativo.
Los equipos de seguridad que leen ATLAS piensan naturalmente en términos de puntos de control existentes: red, dispositivo final, identidad. En la mayoría de los ataques de IA a empresas, las amenazas no entran al perímetro. Se ejecutan dentro de él, a través de superficies que el perímetro nunca fue diseñado para monitorear.
La inyección instantánea no se presenta como una intrusión en la red. Se presenta como un documento que el usuario abre en su navegador. La exfiltración de datos mediante un modelo de IA no se percibe como una brecha de seguridad. Se percibe como un usuario escribiendo en ChatGPT a través de HTTPS.
El denominador común de las técnicas ATLAS empresariales más utilizadas es que se ejecutan en la capa del navegador, dentro de las sesiones de las herramientas de IA. Las herramientas de red ven la conexión al dominio de ChatGPT, pero no ven lo que se escribió. Las herramientas de punto final ven el proceso del navegador, pero no ven lo que sucedió dentro de la sesión. Las herramientas de identidad saben que el usuario se autenticó, pero no saben qué datos se transmitieron posteriormente a través de la interacción con la IA.
Esa falta de cobertura no es un problema de configuración. Es un problema arquitectónico. Seguridad de las extensiones del navegador Lo aborda en la capa donde se ejecutan estas técnicas.
¿Cómo implementan los equipos de seguridad los controles de MITRE ATLAS?
ATLAS proporciona el modelo de amenazas. Su puesta en práctica requiere adaptar las técnicas del marco a los controles reales y, posteriormente, subsanar las deficiencias donde dichos controles no llegan.
Un punto de partida práctico es ATLAS Navigator. Los equipos de seguridad pueden superponer la cobertura de control existente con la matriz ATLAS para visualizar qué técnicas pueden detectar, prevenir o para cuáles no tienen cobertura. Aproximadamente el 70 % de las medidas de mitigación de ATLAS se corresponden con los controles de seguridad existentes. El 30 % restante requiere una cobertura que la mayoría de las plataformas no ofrecen actualmente, y se concentra principalmente en la capa de interacción con la IA.
Los equipos que han avanzado más en la operacionalización de ATLAS tratan las interacciones con la IA como un dominio de visibilidad distinto que requiere controles específicos: monitorización a nivel de sesión de las interacciones con las herramientas de IA, clasificación de los datos que fluyen hacia las indicaciones de la IA y políticas de aplicación que responden a los comportamientos mapeados por ATLAS en tiempo real.
La comunidad de seguridad de Reddit ha puesto de manifiesto esta fricción directamente. Los profesionales consideran que ATLAS es valioso como taxonomía, pero frustrante a la hora de implementarlo, ya que las técnicas presuponen una visibilidad que la mayoría de los equipos de seguridad no poseen. El marco de trabajo indica qué buscar; obtener la perspectiva necesaria para verlo es un problema aparte.
¿Cómo aborda la aplicación de la normativa a nivel de navegador las técnicas de MITRE ATLAS?
La mayoría de las amenazas de IA empresarial detectadas por ATLAS se ejecutan dentro de la sesión del navegador. Para combatirlas, es necesario aplicar medidas de control en esa capa.
LayerX funciona como una extensión de navegador empresarial, proporcionando visibilidad y control en tiempo real sobre las interacciones de las herramientas de IA a nivel de sesión. Varias asignaciones de técnicas específicas son directas:
Para inyección inmediata (AML.T0051)LayerX supervisa el contenido de las interacciones con la IA: lo que se pega en ChatGPT, Copilot, Claude y Gemini. Cuando el contenido coincide con patrones de inyección o clasificadores de datos sensibles, puede advertir al usuario, censurar el elemento sensible o impedir el envío.
Para Exfiltración de datos a través del modelo AI (AML.T0025)LayerX clasifica el contenido que los empleados pegan y suben a las herramientas de IA. El 50 % de la actividad de pegado en las herramientas de GenAI contiene datos corporativos. Los equipos de seguridad pueden aplicar controles graduales (supervisar, advertir, prevenir o censurar) sin bloquear completamente el acceso a la IA.
Para IA en la sombra y acceso no autorizado a herramientasLayerX permite el descubrimiento continuo de todas las herramientas de IA que se utilizan en la organización. El 89 % del uso de IA en las empresas actualmente elude la supervisión corporativa. LayerX visibiliza dicho uso y lo somete al control de las políticas.
Para amenazas de IA con agentes — Recopilación de credenciales (AML.T0098), clickbait de agentes de IA (AML.T0100) — LayerX es la única plataforma de seguridad con visibilidad y aplicación sobre navegadores de IA con agentes, incluidos ChatGPT Atlas, Perplexity Comet y Dia.
¿Qué implica MITRE ATLAS para la gobernanza y el cumplimiento normativo en materia de IA?
ATLAS se menciona cada vez con mayor frecuencia en los marcos regulatorios y de cumplimiento para la seguridad de la IA. La Ley de IA de la UE, el Marco de Gestión de Riesgos de IA del NIST y la norma ISO 42001 abordan la gestión de riesgos de la IA a nivel de políticas. ATLAS proporciona el vocabulario técnico que traduce los requisitos de las políticas en controles específicos y verificables.
Para los CISO que informan a los consejos de administración sobre los riesgos de la IA, ATLAS ofrece un punto de referencia externo fiable. Las organizaciones que integran ATLAS en su proceso de modelado de amenazas están mejor preparadas para responder a las preguntas específicas de auditores, reguladores y aseguradoras sobre la seguridad de la IA.
El aspecto del cumplimiento normativo influye en la evaluación de proveedores. Las herramientas que permiten vincular las capacidades de detección y aplicación de la ley con identificadores técnicos específicos de ATLAS (AML.T0051, AML.T0025, AML.T0098) permiten a los equipos generar mapas de cobertura estructurados en lugar de descripciones narrativas.
La dirección es clara. ATLAS está pasando de ser un marco de investigación a un referente de cumplimiento.
Preguntas frecuentes
¿MITRE ATLAS es lo mismo que MITRE ATT&CK?
No. ATT&CK abarca las rutas de ataque tradicionales a redes y endpoints. ATLAS extiende esa taxonomía específicamente a los sistemas de IA. ATLAS hereda 13 tácticas de ATT&CK y añade tres sin equivalente en ATT&CK. Los equipos de seguridad deberían utilizar ambos marcos de trabajo conjuntamente.
¿Cubre MITRE ATLAS la inyección inmediata?
Sí. La inyección de comandos está documentada en la técnica ATLAS AML.T0051. Esta técnica abarca ataques en los que los adversarios crean entradas que manipulan el comportamiento de un modelo de IA, incluyendo el jailbreaking directo, la inyección indirecta a través de documentos o contenido web y el abuso de complementos.
¿Con qué frecuencia se actualiza MITRE ATLAS?
En desarrollo. La versión 5.1.0 se lanzó en noviembre de 2025 con 16 tácticas, 170 técnicas, 35 medidas de mitigación y 57 estudios de caso. La primera actualización de 2026 incorporó técnicas de IA basadas en agentes. ATLAS es un documento vivo que se actualiza a partir de informes de incidentes reales.
¿Necesito reemplazar mis herramientas de seguridad actuales para implementar MITRE ATLAS?
No. MITRE ATLAS es un marco de trabajo, no un producto. Alrededor del 70 % de sus medidas de mitigación se corresponden con los controles de seguridad existentes. La deficiencia radica en la cobertura de la capa de interacción con la IA, específicamente en lo que sucede dentro de las sesiones del navegador durante el uso de GenAI.
¿Qué técnicas de MITRE ATLAS son las más difíciles de detectar con las herramientas de seguridad tradicionales?
La exfiltración mediante modelos de IA (AML.T0025), la inyección de mensajes (AML.T0051) y la obtención de credenciales de agentes de IA (AML.T0098) rara vez son visibles para las herramientas de red o de punto final. Se producen como tráfico HTTPS normal dentro de aplicaciones autorizadas, durante sesiones autenticadas.
¿Es aplicable MITRE ATLAS a herramientas de IA basadas en navegador como ChatGPT o Microsoft Copilot?
Sí. Varias técnicas de ATLAS se ejecutan directamente a través de interacciones de IA basadas en el navegador, incluyendo la exfiltración de datos mediante mensajes (AML.T0025) y la inyección de mensajes a través de documentos (AML.T0051). Estas son las amenazas de IA empresariales más frecuentes.
