Imagínese construir una fortaleza digital para 43,000 empleados, invertir millones en seguridad, contratar a los mejores expertos en la materia, y aun así que un agente de IA autónomo la vulnere por completo en menos tiempo del que se tarda en terminar una reunión de trabajo.
Eso es exactamente lo que le sucedió a McKinsey & Company.
El ataque que nadie esperaba
El 28 de febrero de 2026, la startup de ciberseguridad CodeWall apuntó su agente de IA ofensivo autónomo contra Lilli, la plataforma interna de IA de McKinsey utilizada por más de 40 000 consultores. Sin credenciales. Sin información privilegiada. Sin intervención humana. Solo un nombre de dominio.
En dos horas, el agente obtuvo acceso completo de lectura y escritura a toda la base de datos de producción. Las cifras son asombrosas: 46.5 millones de mensajes de chat sobre estrategia, fusiones y adquisiciones, y relaciones con clientes; 728 000 archivos confidenciales; 57 000 cuentas de usuario; y 95 mensajes del sistema que controlaban el comportamiento de Lilli, todo expuesto. Lo más alarmante: todos y cada uno de esos mensajes eran modificables. Un atacante malintencionado podría haber reescrito silenciosamente las instrucciones que guiaban a Lilli sin escribir una sola línea de código.
Una vulnerabilidad tan antigua como Internet misma.
Lo que hace que este incidente sea aún más inquietante es que la vulnerabilidad explotada no fue ninguna proeza técnica revolucionaria. Se trató de una inyección SQL, una de las técnicas de ataque más antiguas que existen, conocida desde la década de 1990.
Lilli llevaba más de dos años en producción. Los escáneres de seguridad internos de McKinsey nunca la detectaron. ¿Por qué? Porque el agente de CodeWall no sigue listas de verificación. Mapea, sondea, encadena hallazgos y escala, exactamente como un atacante humano altamente capacitado, pero de forma continua y a velocidad de máquina. El agente encontró la documentación de la API expuesta públicamente con más de 200 puntos de acceso. La mayoría requería autenticación. Veintidós no. Uno de esos puntos de acceso desprotegidos escribía consultas de búsqueda en la base de datos, y los nombres de los campos JSON se concatenaban directamente en SQL. En 15 iteraciones a ciegas, el agente extrajo cada vez más información hasta que comenzaron a fluir datos de producción en tiempo real.
La nueva frontera de los ciberataques: la capa de aviso
Este incidente revela algo que pocas organizaciones se toman en serio: la capa de comandos —las instrucciones que rigen el comportamiento de un sistema de IA— es el nuevo objetivo de alto valor.
Las empresas llevan décadas protegiendo su código, sus servidores y sus cadenas de suministro. Sin embargo, las instrucciones que controlan sus asistentes de IA se tratan como datos secundarios, sin los controles de acceso, la monitorización de la integridad ni las auditorías que merecen. En el caso de Lilli, un atacante podría haber alterado sutilmente modelos financieros, recomendaciones estratégicas o evaluaciones de riesgos, todo ello sin activar una sola alerta de seguridad. Sin despliegues. Sin cambios en el código. Simplemente una instrucción UPDATE envuelta en una única llamada HTTP.
Qué significa esto para todas las organizaciones.
McKinsey no es una startup descuidada. Es una de las consultoras más sofisticadas del mundo, y el hecho de que les haya sucedido esto debería servir de advertencia para cualquier organización que implemente IA en producción.
- Los escáneres de seguridad tradicionales no son suficientes contra los agentes de IA ofensivos.
- Las API no autenticadas conectadas a sistemas de IA constituyen una superficie de ataque crítica.
- Las indicaciones del sistema deben tratarse como activos de alta seguridad: con control de versiones, supervisión y control de acceso.
- Las pruebas de penetración continuas basadas en IA son ahora una necesidad, no un lujo.
En la era de la IA, la velocidad lo cambia todo. Lo que antes requería semanas de reconocimiento humano, ahora se realiza en minutos. Las organizaciones que no adapten su estrategia de seguridad a esta nueva realidad serán noticia próximamente.
