Lo que Amazon promocionaba como un entorno de ejecución completamente aislado resultó tener una puerta trasera abierta de par en par, permitiendo a los atacantes controlar shells inversas y exfiltrar datos sensibles.
La seguridad en los entornos de Inteligencia Artificial está demostrando ser un desafío enorme, incluso para los gigantes tecnológicos. Este martes 17 de marzo de 2026, se detalla el descubrimiento de una falla crítica en el modo de red “Sandbox” del Code Interpreter de AWS Bedrock AgentCore, una vulnerabilidad que permite establecer canales encubiertos de Comando y Control (C2) y extraer datos corporativos.
El Agujero en la Caja de Arena
AWS Bedrock AgentCore Code Interpreter es un servicio administrado que permite a los agentes de IA y chatbots ejecutar código en Python, JavaScript y shell en nombre de los usuarios. AWS documentó originalmente su modo de red “Sandbox” como un entorno de “aislamiento completo sin acceso externo”.
Sin embargo, los investigadores de seguridad encontraron una brecha crítica en esta garantía:
- Aunque el modo Sandbox bloquea el tráfico general de Internet, se descubrió que las consultas de registros DNS A y AAAA tenían permitido salir libremente del entorno aislado.
- Utilizando un servidor de pruebas fuera de banda (Interactsh), los investigadores confirmaron que el intérprete de código enviaba consultas DNS hacia el exterior, inutilizando por completo el modelo de aislamiento.
Una ‘Shell’ Inversa Completa sobre DNS
El equipo de seguridad no se limitó a detectar la fuga, sino que diseñó un protocolo C2 DNS bidireccional completamente funcional para demostrar la gravedad de la vulnerabilidad.
Lograron entregar comandos al intérprete aislado a través de respuestas de registros DNS A, donde cada octeto de la dirección IP codificaba caracteres ASCII de bloques de comandos en Base64. La exfiltración de los resultados funcionaba en sentido inverso: el intérprete de código incrustaba los resultados de los comandos (también en Base64) en consultas de subdominios DNS (hasta 60 caracteres por etiqueta), los cuales eran capturados por una instancia EC2 controlada por el atacante que actuaba como servidor de nombres.
El Peligro del Rol IAM Predeterminado
El riesgo de este ataque se multiplica exponencialmente porque las instancias de Code Interpreter operan con un rol IAM (Identity and Access Management) asignado.
A través de la shell DNS, los investigadores demostraron que podían ejecutar comandos de la CLI de AWS utilizando las credenciales IAM del intérprete. El problema se agrava debido a que el rol IAM predeterminado del AgentCore Starter Toolkit otorga permisos excesivos que violan el principio de mínimo privilegio, incluyendo acceso de lectura completo a buckets S3, acceso total a DynamoDB y acceso sin restricciones a Secrets Manager. Esto permitió la exfiltración silenciosa de archivos sensibles, PII de clientes, credenciales de API y registros financieros.
Respuesta de AWS y Mitigación
Tras la divulgación responsable en septiembre de 2025, AWS reprodujo el problema, intentó implementar una solución inicial que luego fue revertida, y finalmente comunicó en diciembre de 2025 que no emitiría un parche permanente.
En su lugar, AWS actualizó la documentación para aclarar que el modo Sandbox sí permite la resolución DNS, y ahora recomienda encarecidamente a los clientes que migren al modo VPC (Nube Privada Virtual) para lograr un aislamiento real de la red.
