A comienzos de junio de 2026, OWASP reclasificó el prompt injection en DeFi de amenaza plausible a hecho con historial de incidentes — la misma semana en que nuestra cobertura aún lo trataba como advertencia. La organización que mantiene el catálogo de referencia en seguridad de aplicaciones publicó a comienzos de junio de 2026 su informe State of Agentic AI Security and Governance 2026 (versión 2.01), y el salto respecto a la edición anterior es de categoría: donde 2025 listaba riesgos hipotéticos, 2026 lista CVEs (Common Vulnerabilities and Exposures: identificadores públicos y estandarizados de vulnerabilidades concretas), avisos de fabricantes y partes de brechas reales. La conclusión que atraviesa el documento es incómoda: el prompt injection (inyección de instrucciones — texto malicioso escondido en los datos que un modelo lee y ejecuta creyéndolo una orden legítima) no es un bug que se parchea, sino un fallo de diseño permanente. Un modelo de lenguaje no puede separar las instrucciones de confianza de los datos no confiables porque todo le llega mezclado en el mismo stream de tokens (flujo de tokens: la secuencia única de fragmentos de texto con la que el modelo recibe absolutamente todo). Este artículo, a fecha de 8 de julio de 2026, explica por qué ese límite es arquitectónico y no una torpeza de implementación, por qué DeFi convierte ese límite en pérdidas irreversibles, y qué incidentes de 2026 ya han movido la categoría de "amenaza" a "factura".

Aviso editorial: este artículo es educativo y no constituye asesoramiento financiero ni de seguridad. Los datos proceden del informe OWASP State of Agentic AI Security and Governance 2026 (v2.01, publicado a comienzos de junio de 2026 y cubierto por Help Net Security el 11 de junio), del inventario de incidentes de agentes de IA recopilado por KuCoin y de avisos públicos de CVE de 2025-2026 — son contexto verificable, no novedades de esta semana. CleanSky no tiene relación comercial con OWASP, OpenAI, Microsoft ni ninguno de los protocolos citados: no recibimos comisiones ni pagos por referral.

¿Qué cambió en junio de 2026 con el informe OWASP?

OWASP (Open Worldwide Application Security Project) es la organización sin ánimo de lucro cuyo Top 10 de vulnerabilidades es la referencia que usan los equipos de seguridad de medio mundo. Su lista específica para modelos de lenguaje sitúa el prompt injection en el primer puesto, LLM01, desde hace dos años. Lo nuevo de la edición 2026 no es ese ranking, sino la naturaleza de la evidencia que lo sostiene.

La versión de 2025 catalogaba amenazas plausibles: escenarios que los investigadores consideraban posibles pero que aún no se habían materializado en pérdidas documentadas. La versión 2.01, publicada a comienzos de junio de 2026, cataloga lo contrario — vulnerabilidades con número CVE asignado, avisos de fabricantes y partes de brechas reales asociados a casi todas las categorías de riesgo agéntico. Es la diferencia entre un mapa de zonas de riesgo sísmico y un registro de terremotos ya ocurridos.

DimensiónOWASP 2025OWASP 2026 (v2.01)
Tipo de evidenciaAmenazas plausibles, escenarios teóricosCVEs, avisos de fabricante, partes de brecha
Prompt injectionRiesgo prioritario, sin explotación masivaFallo dominante en producción, con incidentes
Marco mental"Podría pasar""Está pasando y así se llama"

Entre los casos que el informe y la cobertura asociada citan hay tres CVEs que ilustran el alcance fuera de DeFi: EchoLeak (CVE-2025-32711), una vulnerabilidad de tipo zero-click —sin que la víctima pulse nada— en Microsoft 365 Copilot con una gravedad de 9,3 sobre 10; el CVE-2026-22708, un salto de la lista de comandos permitidos (allowlist bypass) en el editor Cursor; y el CVE-2025-59532 contra la herramienta de línea de comandos Codex de OpenAI, donde la propia salida del agente conseguía redefinir los límites de su aislamiento. Ninguno es de DeFi, y ese es justo el punto: el fallo no depende del dominio, viaja con el modelo. DeFi solo aporta el peor sitio posible para que ocurra.

¿Por qué el prompt injection no se puede parchear?

Aquí está el corazón del argumento, y conviene ir despacio porque es lo que distingue este problema de cualquier otro fallo de software. Cuando un modelo de lenguaje procesa una petición, recibe tres cosas: las instrucciones de su creador (el system prompt), la entrada del usuario y los datos externos que consulta —una página web, un PDF, el histórico de un contrato, la respuesta de una herramienta—. El detalle decisivo es que las tres llegan como el mismo tipo de material: tokens de lenguaje natural, sin etiqueta que marque cuál manda y cuál solo informa. El modelo los pondera a todos por igual. No existe una frontera arquitectónica entre la orden privilegiada y el contenido no confiable.

La comparación con un fallo clásico lo deja nítido. La inyección SQL —el ataque que durante dos décadas permitió robar bases de datos colando comandos en un formulario— tiene una cura completa y conocida: las consultas parametrizadas, que separan el código de los datos a nivel de protocolo. El motor sabe, sin ambigüedad, qué parte de la petición es instrucción ejecutable y qué parte es dato inerte. El prompt injection no tiene equivalente, porque tanto las instrucciones como los datos llegan en lenguaje natural y ninguna regla sintáctica puede trazar entre ambos una línea limpia.

AspectoInyección SQLPrompt injection
Naturaleza del canalCódigo y datos son sintácticamente distintosInstrucciones y datos son el mismo lenguaje natural
Separación posibleSí: consultas parametrizadas, a nivel de protocoloNo existe frontera sintáctica equivalente
Estado de la soluciónCura completa desde hace añosSolo mitigación por capas, nunca cierre
Cómo se gestionaUn bug que se corrige una vezUn riesgo que se administra siempre

Que esto no es pesimismo de blog lo confirma quien construye los modelos. El 13 de febrero de 2026, OpenAI lanzó un "modo confinamiento" (una configuración que restringe qué puede hacer el asistente con datos no confiables) para su navegador con IA y reconoció públicamente que el prompt injection "puede que nunca se parchee del todo". Cuando el fabricante del sistema admite que su ataque número uno no tiene arreglo definitivo, deja de ser una opinión discutible y pasa a ser una premisa de diseño. Los routers LLM maliciosos de abril de 2026 son la demostración práctica del mismo límite del stream de tokens; el caso está diseccionado en el modelo de permisos de los agentes en DeFi.

¿Por qué el aislamiento (sandboxing) no cierra el agujero?

La respuesta intuitiva es "pues encerremos al agente". El sandboxing (aislamiento: ejecutar el agente en un compartimento con permisos recortados, para que un fallo no se propague) es una defensa real y necesaria, pero no resuelve el problema de raíz por una razón que el propio informe subraya. El aislamiento acota lo que el agente puede hacer cuando ya está comprometido; no impide que se comprometa. Y el CVE de la herramienta Codex mencionado arriba es didáctico precisamente porque el agente logró redefinir los límites de su propio aislamiento a través de su salida: el confinamiento no es un muro fijo cuando quien lo habita puede describir la puerta.

Por eso OWASP encuadra la defensa como una arquitectura de capas, no como un parche: validación de entradas, permisos mínimos, aprobación humana para acciones sensibles, límites de gasto, monitorización de la salida. Cada capa reduce la probabilidad o el daño, ninguna elimina la causa. Es la diferencia entre un cortafuegos que corrige una vulnerabilidad y un cinturón de seguridad que no evita el accidente, solo su consecuencia. Cuando un problema se gestiona con cinturones en lugar de correcciones, es porque la causa no se puede quitar.

¿Por qué DeFi amplifica el radio de daño?

Un prompt injection en un asistente de correo puede filtrar un dato embarazoso. El mismo fallo en un agente con permiso de firma sobre una wallet mueve dinero de forma irreversible. La diferencia es el blast radius (radio de daño: cuánto puede destruir un componente comprometido antes de que alguien lo detenga), y en DeFi ese radio se dispara por tres propiedades que no tiene casi ningún otro software.

  • No hay deshacer. Una firma en blockchain es final. Un administrador no revierte la transacción; el error no se corrige, se paga.
  • La componibilidad propaga el permiso. Una autorización de gasto concedida a un smart contract puede llegar en cascada a otros contratos que este invoca. El permiso viaja más lejos de lo que el usuario imaginó.
  • No hay administrador central. DeFi es permissionless por diseño: no existe un departamento que ponga en cuarentena a un agente rebelde ni un interruptor que lo apague.

Súmese que cada vez circula más dinero real por manos de agentes: el protocolo de pagos agénticos x402 (estándar abierto de pagos vía HTTP para agentes de IA) ya superó los 100 millones de transacciones en la red Base, con el grueso del volumen migrando de micropagos a operaciones por encima de un dólar. El resultado es una combinación mala: la vulnerabilidad sin cura del modelo se encuentra con el sistema financiero menos indulgente que existe. Otros incidentes —la brecha de Bankr, el drenaje de una wallet en Base mediante instrucciones ocultas en código Morse— comparten esa raíz y ya los analizamos como fallos de arquitectura de permisos; la novedad de junio es entender que, por debajo de los permisos, hay un límite del modelo que ningún permiso arregla.

¿Qué exploits reales han pasado de amenaza a factura?

El primer exploit DeFi de esta categoría fue Resolv USR en marzo de 2026 (~25 millones de dólares), que ya tiene pieza propia. OWASP v2.01 es el momento en que ese tipo de caso dejó de ser una anécdota aislada y pasó a ser un patrón con nombre y catálogo.

El agregado de 2026 lo pone en escala. Según el inventario de incidentes de agentes de IA en cripto recopilado por KuCoin, las debilidades a nivel de protocolo en agentes de trading autónomos provocaron más de 45 millones de dólares en incidentes de seguridad durante el año, con los ataques dirigidos al "cerebro" del agente —su memoria a largo plazo y los protocolos que lo conectan a las herramientas de trading—. La cifra no procede de un único robo espectacular, sino de la acumulación de fallos de autenticación, aislamiento e integridad de memoria.

Incidente (fecha)VectorQué fallóPérdida estimada
Resolv USR (mar 2026)Infraestructura de agente de IAPrompt injection vía la infraestructura MCP del agente (análisis propio enlazado)~25 millones de dólares
Agentes de trading con IA (agregado 2026)Memoria del agente y protocolos de conexión a herramientasAutenticación, aislamiento e integridad de memoria comprometidos en varios protocolos>45 millones de dólares
OpenClaw (feb 2026)Error/manipulación del agenteTransferencia errónea de 52,43 millones de tokens LOBSTAR~250.000 dólares

Un dato de prevalencia explica por qué esto no es una racha mala: según el informe State of AI Security 2026 de Cisco (febrero de 2026), el prompt injection aparece en torno al 73 % de los despliegues de IA en producción auditados — no como un incidente raro, sino como el fallo de fondo más común del ecosistema agéntico.

¿Es un fallo sin parche, como el código muerto de Aztec Connect?

La intuición correcta es tratar el prompt injection como una clase de riesgo que ya conocíamos en cripto: el fallo que no se corrige porque su causa es una decisión de diseño, no un descuido. El paralelo más limpio es el exploit de Aztec Connect a través de código muerto: un contrato dado de baja seguía desplegado y explotable, y la vulnerabilidad no vivía en un bug puntual sino en la decisión de dejarlo ahí. En ambos casos, buscar "el parche" es la pregunta equivocada — no hay un punto donde aplicarlo, porque el agujero es estructural.

La diferencia es de grado. El código muerto se puede retirar; la decisión de diseño de Aztec era reversible aunque nadie la revirtiera a tiempo. El prompt injection no admite ni esa salida: mientras un modelo procese instrucciones y datos en el mismo lenguaje, la frontera no se puede dibujar. No hay un contrato que retirar, hay una propiedad del paradigma. Por eso el marco mental que impone OWASP v2.01 no es "hay que arreglar esto antes de usar agentes", sino "esto no se arregla, así que decide cuánto poder le das a algo que sabes que puede ser secuestrado".

¿Deben los protocolos DeFi integrar agentes de IA ahora?

La respuesta honesta no es un sí ni un no, sino un cambio en la unidad de decisión. Un protocolo que integra un agente de IA sin aislamiento no asume un riesgo de software —del tipo que se audita, se parchea y se cierra— sino un riesgo de diseño sin mitigación conocida a nivel de modelo. Eso no lo hace inviable, del mismo modo que aceptar que las firmas son irreversibles no volvió inviable a DeFi. Lo que exige es dejar de tratar la seguridad del agente como un problema resoluble y empezar a tratarla como un presupuesto de daño que se acota por capas: permisos mínimos, límites de gasto, aprobación humana para lo sensible, y la premisa permanente de que la entrada del agente puede estar envenenada.

La lección que deja junio de 2026 es de encuadre, no de táctica. Durante meses, el debate iba de si los agentes de IA en DeFi eran seguros; el informe OWASP lo reformula en si son gobernables sabiendo que su ataque principal no tiene cura. Quien integre un agente con la expectativa de que "ya saldrá un parche" está construyendo sobre una premisa que el propio fabricante del modelo ha desmentido. Y en un sistema donde una firma no se deshace, la distancia entre esa expectativa falsa y una wallet vacía es exactamente un prompt bien colocado. Antes de delegar cualquier operación, conviene ver qué expone tu wallet y a cuántos permisos vivos sigues atado.

Fuentes y enlaces: Help Net Security — OWASP: prompt injection sigue liderando los fallos de IA agéntica en producción (11-jun-2026) · OWASP GenAI — LLM01: Prompt Injection · KuCoin — Agentes de trading con IA: 45 millones de dólares en incidentes en 2026 · TechTimes — Prompt injection: un fallo permanente, no un bug parcheable (14-jun-2026) · Cisco — State of AI Security 2026: prompt injection en el 73 % de despliegues

Artículos relacionados: El modelo de permisos de los agentes de IA en DeFi. 25 millones robados vía inyección de prompt en MCP. Si un agente de IA roba en DeFi, ¿quién paga?.

Un fallo sin parche exige saber exactamente cuánto expones: CleanSky te muestra tu exposición por protocolo, cadena y tipo de activo, sin custodiar tus fondos, para que ningún permiso vivo te sorprenda. Revisa tu exposición en CleanSky