Hay un tipo de ataque que no rompe nada. No cifra archivos, no exfiltra credenciales, no deja logs con firmas reconocibles. Su objetivo no es tumbar un sistema sino hacer que ese sistema nunca llegue a ver cierto contenido. Y en la era en que los LLMs aprenden del mundo que consumen, esa ausencia tiene un nombre: manipulación por silencio.
La premisa técnica es más sencilla de lo que parece. Los grandes modelos de lenguaje, tanto en su fase de preentrenamiento como en los sistemas RAG que los alimentan en producción, dependen de que ciertos contenidos sean accesibles en momentos específicos. Los crawlers de OpenAI, Anthropic, Google o los pipelines de recuperación de sistemas empresariales visitan fuentes, indexan documentos, actualizan vectores. Si en ese intervalo crítico el origen está inaccesible, el contenido no existe para el modelo. No es que se elimine: es que nunca llega a ser representado.
Un DDoS selectivo, dirigido no a destruir sino a saturar un dominio durante las ventanas de crawling conocidas, consigue exactamente eso. Y lo más relevante desde el punto de vista defensivo: no deja una firma de ataque convencional en el destino. El sitio cae por carga. El crawler recibe un timeout o un 503. El pipeline de ingestión descarta la fuente o la marca como temporalmente no disponible. El resultado es invisibilidad en el corpus.
El ataque que nadie atribuye
Los equipos de seguridad están entrenados para detectar DDoS volumétricos clásicos: picos de tráfico, agotamiento de recursos, anomalías de red. Pero un ataque diseñado para interrumpir el acceso de un bot específico —el Googlebot, el GPTBot de OpenAI, el crawler de Common Crawl— no necesita ser masivo. Necesita ser preciso y temporizado.
Common Crawl, que alimenta indirectamente buena parte del preentrenamiento de modelos abiertos, realiza sus rastreos en oleadas documentadas. GPTBot tiene User-Agent conocido y su comportamiento de crawling es en parte predecible. Un atacante que combine esta información con ataques de baja intensidad dirigidos a ventanas de indexación puede crear ausencias sistemáticas sin activar ningún umbral de alerta clásico. El paper Poisoning Web-Scale Training Datasets is Practical (Carlini et al., 2023, ) ya demostró que manipular una fracción pequeña del corpus de entrenamiento tiene efectos desproporcionados sobre el comportamiento del modelo. La variante silenciosa no envenena: simplemente vacía.
RAG como superficie más inmediata
Si el preentrenamiento es el vector de largo plazo, los sistemas RAG son el vector operativo. Cuando una organización despliega un asistente basado en recuperación aumentada, ese sistema actualiza su base de conocimiento de forma periódica. Documentos técnicos, bases de conocimiento internas, fuentes externas de referencia. Si una fuente crítica está inaccesible durante el ciclo de actualización, el modelo responde con versiones obsoletas o simplemente no responde con esa información.
El equipo de investigación de Wiz documentó en 2024 cómo las disrupciones en pipelines de ingestión de datos en sistemas RAG empresariales pueden generar respuestas degradadas sin que el sistema de monitorización detecte un fallo activo. No es un fallo del modelo: es un fallo de alimentación. La diferencia importa porque los controles de calidad del LLM no capturan este tipo de degradación.
El olvido selectivo como estrategia competitiva
Aquí es donde el ángulo de AI SEO adversarial se vuelve incómodo. Si un competidor o un actor con intención de manipular el ecosistema informativo sabe que cierta fuente de referencia actualiza su contenido los martes, y que el crawler del sistema RAG objetivo visita esa fuente los miércoles, tiene una ventana. Un ataque de baja intensidad de 12 horas es suficiente para que la actualización no llegue al modelo. La fuente que iba a corregir una narrativa, que iba a introducir nuevos datos, que iba a desplazar una respuesta errónea, simplemente no llega.
El resultado no es un LLM con contenido envenenado sino un LLM con contenido congelado. Y un modelo que no actualiza su representación de un tema se convierte, sin saberlo, en amplificador de la versión anterior de la realidad. No hay firma, no hay contenido malicioso insertado, no hay nada que analizar en el modelo. La ausencia no deja rastro forense porque nunca ocurrió nada: sencillamente, una cosa dejó de pasar.
Lo que no se indexa no se defiende
Los mecanismos de defensa actuales contra manipulación de LLMs están orientados casi en exclusiva hacia la inyección: contenido que entra, prompts adversariales, datos envenenados con señales falsas. La literatura sobre data poisoning, desde los trabajos de Tran et al. hasta los más recientes sobre backdoor attacks, asume que el ataque introduce algo. La variante por silencio no introduce nada. Explota la diferencia entre lo que el modelo sabe y lo que debería saber, sin tocar el modelo.
Eso plantea una pregunta para la que la industria todavía no tiene respuesta operativa clara: ¿cómo auditas la ausencia? ¿Cómo sabes lo que tu sistema de recuperación dejó de ver, y cuándo, y por qué?