Hackearon tu chatbot y lo revendieron con descuento. Bienvenido a la era del LLMjacking.
Lo más alarmante: los accesos desaparecen en silencio y sin un hackeo evidente.
Los especialistas del equipo Pillar Security registraron una campaña de ataques a gran escala y sistemática contra la infraestructura de inteligencia artificial, que muestra cómo el ciberdelito se adapta rápidamente al desarrollo de las tecnologías de IA y las convierte en una fuente de ingresos.
En el periodo de diciembre de 2025 a enero de 2026 la infraestructura de investigación de la empresa registró cerca de 35 000 sesiones de ataque dirigidas a servicios LLM abiertos y nodos del Model Context Protocol. La campaña recibió el nombre Operation Bizarre Bazaar y se convirtió en el primer caso documentado públicamente de «LLMjacking» organizado con monetización comercial completa. Se trata de accesos no autorizados a la infraestructura de grandes modelos de lenguaje con posterior reventa de recursos computacionales y acceso a la API.
El esquema del ataque se articula como una cadena de reconocimiento, verificación y reventa. Primero una botnet distribuida escanea Internet en busca de servicios abiertos como Ollama, vLLM y nodos MCP. Luego la infraestructura vinculada al proyecto silver.inc verifica los puntos de acceso encontrados, prueba claves y las capacidades de los modelos. Después ese acceso se revende a través de un mercado clandestino bajo la apariencia de una «pasarela API única» hacia decenas de proveedores de LLM con descuentos del 40–60%, mientras que los propietarios reales de la infraestructura siguen asumiendo todos los costos.
Los autores del informe relacionan la operación con un actor bajo el seudónimo Hecker, también conocido como Sakuya y LiveGamer101. Su implicación se infiere por los datos del panel de administración de silver.inc, las intersecciones de infraestructura con otros servicios, elementos de red comunes y la característica sincronización de los escaneos y los intentos de explotación con diferencias de varias horas.
El peligro de estos ataques va mucho más allá del robo de recursos computacionales. La compromisión de nodos LLM puede provocar la fuga de datos de las ventanas de contexto y del historial de diálogos, y los servidores MCP abiertos crean condiciones para el movimiento lateral dentro de redes corporativas, acceso a sistemas de archivos, bases de datos y API en la nube. También se registró una campaña paralela de reconocimiento dirigida específicamente a la infraestructura MCP, cuya proporción del tráfico malicioso alcanzó alrededor del 60% a finales de enero.
En Pillar Security subrayan que la actividad de los atacantes continúa y que la infraestructura de reventa y escaneo permanece operativa. Según el equipo, la situación exige revisar los enfoques de la protección de los servicios de IA, ya que los puntos de acceso abiertos o con poca protección se están convirtiendo en un nuevo vector masivo de ataques.