Investigadores revelan una capa oculta de infraestructura de IA no gestionada que abarca 130 países. Sin autenticación ni firewall, miles de modelos privados y recursos de GPU están a merced de cualquiera.
La fiebre del oro de la Inteligencia Artificial ha dejado las puertas abiertas. Hoy 30 de enero de 2026, una investigación conjunta alarmante: más de 175,000 instancias de Ollama están totalmente expuestas a Internet, sin ninguna protección, invitando a ciberdelincuentes a robar modelos, envenenar datos o secuestrar capacidad de cómputo.
Ollama, la herramienta de código abierto favorita de los desarrolladores para ejecutar LLMs (como Llama 3 o Mistral) localmente, se ha convertido involuntariamente en la base de una “infraestructura de cómputo pública y no gestionada”, donde la seguridad brilla por su ausencia.
Las Cifras del Descuido
El estudio arroja datos preocupantes sobre esta “Shadow AI”:
- Escala Masiva: Se detectaron 175,000 hosts únicos accesibles públicamente.
- Geografía del Riesgo: La mayoría se encuentran en China (30%) y Estados Unidos (20%), seguidos por Alemania, Corea del Sur y Taiwán.
- Ubicación: Un dato crítico es que el 56% de estos servidores están en redes de telecomunicaciones residenciales o de acceso fijo, lo que sugiere que muchos son desarrolladores individuales o pequeñas empresas operando desde casa sin firewalls corporativos.
El Riesgo: “LLMjacking” y Robo de Modelos
Al dejar el puerto predeterminado (11434) abierto al mundo, estos servidores permiten a cualquier atacante interactuar con la API de Ollama sin autenticación. Esto habilita varios vectores de ataque devastadores:
- Robo de Modelos y Datos: Los atacantes pueden descargar (“pull”) modelos propietarios que la víctima haya entrenado con datos sensibles, o exfiltrar el historial de chats si el servidor guarda logs.
- LLMjacking (Secuestro de Recursos): Los criminales pueden usar la potencia de GPU de la víctima para sus propias tareas (minería de criptomonedas, generación de spam o ataques de fuerza bruta asistidos por IA), dejando al dueño con la factura eléctrica y el desgaste del hardware.
- Ejecución de Código (RCE): Cerca del 50% de los hosts expuestos tienen habilitadas capacidades de “Tool Calling” (uso de herramientas). Esto significa que el LLM tiene permiso para ejecutar código o interactuar con APIs externas, lo que un atacante podría manipular mediante Prompt Injection para ganar acceso al sistema operativo subyacente.
Operación “Bizarre Bazaar”
El reporte también menciona una campaña activa denominada “Operation Bizarre Bazaar”.
- El Modus Operandi: Grupos criminales están escaneando sistemáticamente Internet en busca de estas instancias de Ollama, vLLM y otras APIs compatibles con OpenAI.
- El Negocio: Una vez validados, venden el acceso a estos servidores comprometidos en foros clandestinos a precios de descuento, permitiendo a otros delincuentes usar IA de alta gama sin pagar licencias ni hardware.
La Raíz del Problema: Facilidad vs. Seguridad
Ollama está diseñado para la facilidad de uso (“developer experience”), y por defecto, no implementa autenticación nativa. Se asume que el usuario lo ejecutará en un entorno local seguro (localhost). Sin embargo, muchos usuarios lo configuran para escuchar en 0.0.0.0 (todas las interfaces) para acceder remotamente, olvidando colocar un firewall o un proxy inverso delante.
Recomendación
- Bind Local: Asegúrate de que la variable OLLAMA_HOST esté configurada en 127.0.0.1 si no necesitas acceso remoto.
- Autenticación: Si necesitas exponerlo, nunca lo hagas directamente. Utiliza un Proxy Inverso (como Nginx o Apache) que maneje autenticación (Basic Auth, OAuth) y cifrado SSL/TLS.
- Firewall: Bloquea el puerto 11434 en tu firewall perimetral para todo el tráfico que no provenga de IPs de confianza (VPN).
