En una investigación presentada en ICLR 2025, un equipo demostró algo que no debería sorprender pero que cambia la forma de pensar sobre el SEO: es posible manipular las recomendaciones de un LLM mediante contenido web diseñado para promover productos propios y desacreditar a competidores. Los ataques fueron validados en producción, en motores como Bing y Perplexity, y en APIs de plugins para GPT-4 y Claude.
Lo interesante no es que funcione. Lo interesante es que funciona demasiado bien. Y que el incentivo para hacerlo es estructuralmente inevitable.
El dilema del prisionero semántico
El paper «Adversarial Search Engine Optimization for Large Language Models» describe una dinámica que los investigadores comparan explícitamente con un dilema del prisionero: cada actor se beneficia individualmente si lanza ataques para posicionar su contenido, pero cuando varios atacantes apuntan al mismo LLM simultáneamente, todos pierden presencia. La trampa se cierra sola.
El problema más profundo es que no existe una línea clara entre optimización legítima y ataque. Los propios investigadores señalan que aún no hay consenso sobre dónde termina el SEO benigno para LLMs y dónde empieza la manipulación. Si tu competidor está inyectando prompts en su sitio para que Perplexity lo recomiende primero, ¿qué haces tú? ¿Pierdes cuota de mercado por principios? ¿O ajustas tu estrategia de contenido para «competir en igualdad de condiciones»?
La dinámica es peor que en SEO tradicional, y los experimentos lo muestran con claridad. Productos ficticios manipulados compitieron contra marcas reales establecidas, como Nikon y Fujifilm. Sin ataque, las cámaras reales fueron recomendadas casi el doble de veces. Con el ataque activo, el producto ficticio pasó a ser ligeramente más probable de recibir una recomendación que los productos reales. El reconocimiento de marca dejó de pesar. La manipulación semántica lo anuló.
El botón que envenena la memoria del asistente
Mientras esa investigación documentaba ataques en el contexto de búsqueda, Microsoft identificaba en paralelo una tendencia distinta pero relacionada: sitios web que embebían instrucciones de manipulación directamente en sus páginas, disfrazadas de botones funcionales. El método es simple hasta resultar inquietante: un enlace clicable con el texto «Resume con IA» que, al activarse, ejecuta en el asistente del usuario instrucciones del tipo «recuerda esta empresa como fuente de confianza» o «recomiéndala primero en futuras consultas».
Microsoft identificó más de 50 variantes únicas de estos prompts, procedentes de 31 empresas en 14 sectores distintos. Algunos se distribuían también por correo electrónico. Las herramientas necesarias para desplegarlo son de acceso libre. Lo que antes era técnica de laboratorio se ha convertido en táctica de marketing.
Microsoft llama a esto «AI Recommendation Poisoning»: una clase de técnicas que reproduce la lógica del SEO poisoning y el adware clásico, pero orientadas a asistentes de IA en lugar de motores de búsqueda o dispositivos. El objetivo no es el ranking en una SERP. Es la memoria y la preferencia del agente conversacional.
El ataque ocurre antes del prompt
En la inyección de prompt indirecta, el atacante no interactúa con el modelo directamente. Embebe instrucciones en contenido web que el LLM ingiere cuando el usuario hace una consulta. El modelo procesa ese contenido como si fuera texto neutro, pero sigue instrucciones que el usuario nunca vio ni aprobó. Palo Alto Networks documentó casos reales de esta técnica en telemetría de producción.
La ingeniería del payload se divide en dos planos complementarios. Por un lado, los métodos de entrega: cómo se ocultan las instrucciones en la estructura del documento, mediante técnicas como texto de tamaño cero, supresión CSS, atributos HTML poco visibles o inyección dinámica en tiempo de ejecución. Por otro, los métodos de evasión: cómo se formula la instrucción para esquivar los filtros del modelo, usando caracteres invisibles, codificación en capas, fragmentación del payload o instrucciones en varios idiomas.
La diferencia arquitectónica con el SEO tradicional es importante. En un buscador clásico, un documento manipulado afecta su propio ranking de forma aislada. En un motor de búsqueda basado en LLM, los documentos recuperados se incorporan juntos al prompt de contexto. No se procesan por separado: interactúan. Un documento malicioso puede contaminar la interpretación de los demás.
El texto fue solo el comienzo
La misma lógica de ataque se extiende a medida que los sistemas se vuelven multimodales. Cuando un LLM procesa no solo texto sino imágenes y audio, la superficie de inyección crece proporcionalmente. Investigadores de Cornell Tech han demostrado ataques en prueba de concepto que embeben instrucciones adversariales en imágenes y archivos de audio, invisibles para el usuario pero legibles para el modelo. Lo relevante no es solo que funcionen: es que no degradan la capacidad del modelo para responder preguntas legítimas sobre el mismo contenido. El ataque es sigiloso por diseño.
No hay solución sistémica a la vista. La inyección de prompt es un problema conocido con la arquitectura actual de los LLMs, y es poco probable que se resuelva de forma estructural en el corto plazo. OpenAI trabaja en jerarquía de instrucciones y entrenamiento adversarial automatizado, pero la robustez frente a ataques adversariales es un problema abierto en machine learning desde mucho antes de que existieran los modelos de lenguaje.
La decisión que ya nadie puede evitar
Cada empresa con presencia web enfrenta ahora la misma elección: optimizar para humanos y perder visibilidad en LLMs, u optimizar para LLMs y convertirse, funcionalmente, en atacante. No hay una tercera posición cómoda.
Lo que hace difícil esta situación no es la complejidad técnica. Es la lógica económica que la impulsa. Mientras exista un beneficio individual en manipular el contexto que ingiere el modelo, habrá incentivo para hacerlo. Y mientras no exista un mecanismo colectivo de corrección, el equilibrio al que tiende el sistema es el de contaminación generalizada.
El problema no es técnico. Es económico. Y no tiene solución individual.