AWS AgentCore bajo la lupa: cómo un fallo en el sandbox permite romper el aislamiento de red
Un nuevo hallazgo de seguridad publicado por Unit 42 (Palo Alto Networks) pone en cuestión una de las garantías fundamentales de los entornos modernos de ejecución en la nube: el aislamiento. Los investigadores han demostrado que el modo de aislamiento de red del sandbox en AWS AgentCore puede ser evadido, permitiendo comunicación con sistemas externos mediante técnicas de DNS tunneling.
AWS AgentCore está diseñado para ejecutar código —incluido el de agentes de inteligencia artificial— en entornos controlados, donde la conectividad externa está restringida para evitar filtraciones de datos o comportamiento malicioso. Sin embargo, el análisis revela que ese aislamiento no es absoluto.
El problema radica en cómo se gestionan las resoluciones DNS dentro del sandbox. Aunque el entorno bloquea conexiones directas salientes, permite consultas DNS que, en condiciones normales, son necesarias para el funcionamiento del sistema. Los investigadores demostraron que este canal puede ser abusado para establecer una comunicación encubierta con el exterior.
Mediante DNS tunneling, un atacante puede codificar datos dentro de consultas DNS y enviarlos a un dominio bajo su control. De la misma forma, puede recibir información como respuesta. Este mecanismo convierte lo que debería ser una funcionalidad básica en un canal de exfiltración y control remoto.
Lo relevante de este hallazgo no es solo la técnica —bien conocida en seguridad— sino el contexto en el que se aplica. En plataformas como AgentCore, donde se ejecuta código potencialmente sensible o automatizado, la promesa de aislamiento es clave para su adopción. Si ese aislamiento puede ser burlado, el modelo de confianza se debilita.
Este tipo de vulnerabilidad tiene implicaciones especialmente importantes en entornos de inteligencia artificial. Los agentes pueden procesar datos sensibles, interactuar con sistemas internos o ejecutar lógica automatizada. Si un atacante consigue introducir código o manipular su comportamiento, podría utilizar este canal para extraer información sin ser detectado por controles tradicionales.
Además, el uso de DNS como canal de comunicación dificulta la detección. Muchas soluciones de seguridad no inspeccionan en profundidad el tráfico DNS o lo consideran de bajo riesgo, lo que permite que este tipo de actividad pase desapercibida durante largos periodos.
Desde el punto de vista defensivo, este caso refuerza la necesidad de adoptar un enfoque más estricto en la supervisión de entornos aislados. No basta con bloquear conexiones directas; es necesario analizar todos los canales posibles, incluidos aquellos considerados “seguros por defecto” como el DNS.
Las organizaciones que utilizan servicios de ejecución aislada deberían revisar sus controles de red, implementar monitorización avanzada de consultas DNS y considerar políticas más restrictivas cuando se trate de entornos sensibles. También es clave asumir que el aislamiento perfecto no existe, y que siempre deben existir capas adicionales de detección y respuesta.
La conclusión es clara: a medida que las plataformas cloud y de inteligencia artificial evolucionan, también lo hacen las técnicas para evadir sus controles. El sandbox sigue siendo una herramienta fundamental, pero confiar ciegamente en su aislamiento puede convertirse en un riesgo.