El pasado 13 de mayo, investigadores de HiddenLayer descubrieron un repositorio malicioso en Hugging Face que se hacía pasar por Privacy Filter, una herramienta oficial de OpenAI. El paquete acumuló aproximadamente 244.000 descargas antes de ser eliminado por los administradores de la plataforma. No era una herramienta de privacidad: era un infostealer diseñado para robar credenciales, datos de navegadores, información de Discord y wallets de criptomonedas de sistemas Windows. El incidente marca un punto de inflexión en la seguridad de los registros públicos de modelos de inteligencia artificial.

El ataque: ingeniería social, inflado artificial y un loader malicioso

El repositorio fraudulento replicaba meticulosamente la presentación visual de un lanzamiento legítimo de OpenAI, incluyendo documentación y metadatos que lo hacían indistinguible a simple vista. El componente malicioso residía en un archivo loader.py que, al ejecutarse, descargaba e instalaba malware con capacidades de robo de información. El software desactivaba protecciones del sistema, extraía credenciales almacenadas en navegadores como Chrome y Firefox, recopilaba tokens de Discord y accedía a wallets de criptomonedas locales. Para amplificar su alcance, los atacantes inflaron artificialmente las métricas de descargas y likes del repositorio, generando una falsa percepción de popularidad y confiabilidad que atrajo a más víctimas. La sofisticación del ataque no radica en la complejidad técnica del malware, sino en la orquestación de una campaña de confianza que explotó la reputación tanto de OpenAI como de Hugging Face como plataforma de distribución.

El eslabón más débil: los registros de modelos como nuevo vector de ataque

Hugging Face se ha convertido en el repositorio de referencia para modelos de machine learning, datasets y herramientas de IA, funcionando como el GitHub del ecosistema de inteligencia artificial. Con más de un millón de modelos alojados y cientos de miles de usuarios diarios, su superficie de ataque es inmensa. El problema de fondo es que los modelos de IA no son simples archivos estáticos: se distribuyen como código ejecutable que se integra directamente en pipelines de producción, aplicaciones empresariales y dispositivos de usuario final. A diferencia de los registros de paquetes tradicionales como PyPI o npm, que han desarrollado mecanismos de verificación y escaneo durante años, los registros de modelos de IA están todavía en una fase temprana de madurez en cuanto a seguridad. Un modelo malicioso puede incluir código arbitrario en sus scripts de carga, en las configuraciones de tokenizadores o en los ficheros de pesos serializados, haciendo que la validación automatizada sea significativamente más compleja que en otros ecosistemas de software. El ataque descubierto por HiddenLayer no aprovechó una vulnerabilidad técnica desconocida: simplemente explotó el hecho de que la reputación del nombre OpenAI sería suficiente para que miles de desarrolladores ejecutaran el código sin verificarlo.

Lecciones para empresas: qué hacer antes de que el próximo paquete malicioso llegue a producción

Para cualquier empresa que utilice modelos de código abierto descargados de Hugging Face, este incidente debería activar una revisión inmediata de los protocolos de seguridad. La primera medida es verificar la autenticidad del autor del repositorio: los modelos oficiales de organizaciones como OpenAI, Google o Meta tienen insignias de verificación y páginas de organización claramente identificables. La segunda es auditar el código de carga antes de ejecutarlo, prestando especial atención a scripts como trust_remote_code, loader.py o cualquier fichero que realice conexiones de red salientes. La tercera es implementar entornos aislados de prueba para validar nuevos modelos antes de integrarlos en producción, una práctica común en ingeniería de seguridad de software que apenas está empezando a adoptarse en los equipos de machine learning. El coste de no hacerlo es devastador: un infostealer con acceso a la máquina de un científico de datos puede comprometer credenciales de AWS, claves de API de OpenAI, tokens de acceso a repositorios privados y, potencialmente, todo el pipeline de infraestructura de una empresa. HiddenLayer no ha especificado cuántas de las 244.000 descargas resultaron en infecciones reales, pero la cifra total de dispositivos potencialmente comprometidos es suficientemente alarmante como para que cualquier responsable de seguridad tome medidas hoy.

Conclusión

El ataque a Hugging Face no es un caso aislado de malware en internet: es la manifestación de un problema estructural que crecerá a medida que la IA se integre en más procesos empresariales. Los registros de modelos son infraestructura crítica y deben ser tratados como tal. Hugging Face ha respondido eliminando el repositorio y colaborando con los investigadores, pero la pregunta que queda es si la industria de la IA está preparada para un ecosistema donde cada modelo descargado puede ser un caballo de Troya. Para las empresas españolas que están empezando a incorporar inteligencia artificial en sus operaciones, la respuesta es clara: la seguridad en la cadena de suministro de IA no puede ser una ocurrencia tardía, sino un requisito desde el primer día. Verificar la fuente, aislar la ejecución y auditar el código no son prácticas opcionales: son la diferencia entre innovar y abrir la puerta a un atacante.