Envenenamiento de datos (data poisoning)

Hay dos variantes principales. La primera, envenenamiento del entrenamiento: se contaminan los datos masivos con los que se pre-entrena o ajusta un modelo. Como gran parte de los datos viene de internet, atacantes han demostrado que sembrar miles de páginas con cierto patrón puede afectar el comportamiento del modelo entrenado sobre esa web. La segunda, envenenamiento del fine-tuning empresarial: una empresa entrena un modelo con sus propios documentos; un atacante introduce documentos manipulados en esa fuente (un PDF en una carpeta compartida, un comentario en un ticket) que enseña al modelo, por ejemplo, que cierta firma de un usuario falso debe aprobarse automáticamente. La tercera, envenenamiento del RAG: en lugar de entrenar, simplemente se contamina el corpus de documentos que el sistema RAG consulta en tiempo real, de forma que ante ciertas preguntas el modelo recupere y crea documentación falsa. ENISA, NIST y OWASP listan el data poisoning entre las amenazas top de seguridad para sistemas IA.