Una vulnerabilidad en Dialogflow CX permitió crear agentes maliciosos en Google Cloud
Investigadores de Varonis demostraron cómo un atacante con solo permisos de edición podía tomar el control de todos los chatbots de un proyecto
16 de julio de 2026 · 4 min de lectura
¿Qué ha ocurrido?
Investigadores de seguridad de Varonis descubrieron una vulnerabilidad crítica en Google Cloud Dialogflow CX, la plataforma de inteligencia artificial conversacional de Google. La falla permitía a un atacante con solo permiso de edición sobre un chatbot (agente) inyectar código malicioso en los Code Blocks de los Playbooks (guiones de conversación). Estos bloques de código Python se ejecutan en un entorno Cloud Run compartido por todos los agentes de un mismo proyecto de Google Cloud Platform. Dicho entorno carecía de restricciones de código, tenía sistema de archivos escribible, acceso a internet público y privilegios excesivos. Esto permitía al atacante sobrescribir archivos clave, acceder al historial completo de conversaciones y al estado de sesión, llamar a funciones internas y falsear respuestas generadas por LLM para realizar phishing y robo de credenciales. Además, al ser un entorno compartido, un solo agente comprometido podía tomar el control de todos los demás agentes del proyecto. Los ataques eran prácticamente indetectables porque Cloud Logging no capturaba las sobrescrituras de archivos ni la lógica inyectada.
Según el informe técnico de Varonis (publicado en su blog el 24 de junio de 2026), la vulnerabilidad fue catalogada con un nivel de gravedad alto, aunque no se asignó un CVE específico en el momento de la divulgación. Los investigadores detallaron que el ataque se basaba en la capacidad de modificar el archivo app.py dentro del contenedor Cloud Run, lo que permitía ejecutar código arbitrario en el contexto del servicio. Además, al tener acceso a internet público, el atacante podía establecer comunicación con un servidor externo para exfiltrar datos o recibir comandos.
¿Por qué es importante?
Esta vulnerabilidad es relevante porque afecta a una plataforma de IA conversacional ampliamente utilizada por empresas para construir chatbots de atención al cliente, asistentes virtuales y otras aplicaciones. La posibilidad de que un atacante con permisos mínimos pudiera tomar el control de todos los agentes de un proyecto y exfiltrar datos sensibles como credenciales de acceso representa un riesgo de seguridad significativo. Además, la dificultad de detección aumenta el peligro, ya que los equipos de seguridad podrían no percatarse del compromiso durante largos períodos.
Dialogflow CX es utilizado por grandes organizaciones en sectores como banca, salud, retail y telecomunicaciones, donde los chatbots manejan información sensible de clientes. Un ataque exitoso podría comprometer no solo los datos de conversación, sino también credenciales de usuarios y sistemas internos. El hecho de que el entorno compartido por proyecto permitiera que un solo agente comprometido afectara a todos los demás multiplica el impacto potencial. Varonis señaló que la falla se asemeja a un ataque de supply chain dentro del mismo proyecto, donde un agente malicioso podía propagarse lateralmente sin necesidad de escalar privilegios.
Históricamente, incidentes similares han ocurrido en plataformas de código bajo o sin servidor, como el caso de AWS Lambda en 2023, donde se descubrió que funciones compartidas podían ser explotadas para acceder a variables de entorno de otras funciones. Sin embargo, en Dialogflow CX la gravedad es mayor porque el código se ejecuta en un contexto de IA generativa, donde las respuestas falsificadas pueden engañar a usuarios finales.
Consecuencias y lecciones
Google corrigió la vulnerabilidad entre abril y junio de 2026, tras ser notificada por Varonis en noviembre de 2025. No hay evidencia de explotación en entornos reales, pero los investigadores recomiendan a los clientes revisar los registros de auditoría DATA_WRITE en busca de llamadas Playbooks.UpdatePlaybook, buscar errores anómalos de Sessions.DetectIntent e inspeccionar manualmente los Code Blocks de cada agente en busca de código no autorizado. Este incidente subraya la importancia de aplicar el principio de mínimo privilegio en entornos cloud, especialmente cuando se ejecuta código personalizado. También resalta la necesidad de que los proveedores de plataformas de IA implementen sandboxing robusto y auditoría detallada para prevenir y detectar este tipo de ataques.
Según la línea de tiempo proporcionada por Varonis, Google tardó aproximadamente siete meses en implementar la corrección completa, lo que refleja la complejidad de modificar la arquitectura subyacente de Cloud Run. La solución incluyó restricciones en el sistema de archivos, limitación de permisos del contenedor y mejoras en el registro de actividad. Sin embargo, Varonis advierte que los clientes aún deben verificar que sus proyectos no hayan sido comprometidos durante la ventana de exposición.
Este caso también pone de manifiesto la necesidad de que las empresas que utilizan plataformas de IA conversacional realicen auditorías periódicas de seguridad, especialmente cuando se permite la ejecución de código personalizado. La confianza en el proveedor cloud no debe reemplazar las propias medidas de seguridad, como la segmentación de proyectos y la revisión de logs.
¿Qué deben saber los lectores?
Si su organización utiliza Dialogflow CX, es crucial verificar que se haya aplicado el parche de seguridad de Google (corregido entre abril y junio de 2026). Además, deben revisar los registros de auditoría y los Code Blocks de sus agentes para detectar cualquier indicio de compromiso. Como práctica general, limite los permisos de edición sobre los chatbots solo al personal autorizado y considere la segmentación de proyectos para reducir el impacto de una posible brecha.
Varonis proporcionó indicadores de compromiso (IoC) específicos: buscar en los registros de auditoría de Google Cloud las operaciones google.cloud.dialogflow.cx.v3.Playbooks.UpdatePlaybook en el periodo anterior a junio de 2026. También recomiendan monitorear errores inusuales en Sessions.DetectIntent que podrían indicar manipulación de respuestas. Finalmente, inspeccionar manualmente cada agente para detectar código Python no autorizado en los Code Blocks, especialmente aquellos que realizan conexiones de red o acceden al sistema de archivos.
Para los equipos de seguridad, este incidente refuerza la necesidad de aplicar el principio de mínimo privilegio incluso a nivel de plataforma de IA. Además, sugiere que las empresas deberían considerar la implementación de herramientas de monitoreo de integridad de archivos en entornos serverless, así como la revisión periódica de las configuraciones de los agentes de Dialogflow CX. La colaboración entre proveedores cloud y empresas de seguridad es fundamental para identificar y mitigar este tipo de vulnerabilidades antes de que sean explotadas.
Puntos clave
- Varonis descubrió una vulnerabilidad crítica en Dialogflow CX que permitía a atacantes con permisos de edición crear agentes maliciosos.
- El ataque aprovechaba un entorno Cloud Run compartido con privilegios excesivos y sin restricciones de código.
- Un solo agente comprometido podía tomar el control de todos los agentes del proyecto y robar datos como credenciales.
- Los ataques eran prácticamente indetectables porque Cloud Logging no registraba las acciones maliciosas.
- Google corrigió el fallo entre abril y junio de 2026; no hay evidencia de explotación en la naturaleza.
Preguntas frecuentes
¿Qué es Dialogflow CX?
Es la plataforma de IA conversacional de Google Cloud para construir chatbots y asistentes virtuales, que permite añadir código Python personalizado en bloques llamados Code Blocks dentro de Playbooks.
¿Qué permisos necesitaba un atacante para explotar la vulnerabilidad?
Solo necesitaba permiso de edición sobre un chatbot (agente) en Dialogflow CX, no requería acceso de administrador.
¿Qué datos podía robar el atacante?
Podía acceder al historial completo de conversaciones, al estado de sesión y a credenciales de inicio de sesión, además de poder falsear respuestas para realizar phishing.
¿Cómo se detecta si un agente ha sido comprometido?
Revisando los registros de auditoría DATA_WRITE para llamadas Playbooks.UpdatePlaybook, buscando errores anómalos de Sessions.DetectIntent, e inspeccionando manualmente los Code Blocks de cada agente en busca de código no autorizado.
¿Google ha solucionado el problema?
Sí, Google lanzó un parche inicial en abril de 2026 y completó la corrección en junio de 2026. Se recomienda a los clientes asegurarse de tener la última versión.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.