La seguridad en los sistemas de Recuperación Aumentada por Generación (RAG) va mucho más allá de filtrar la salida de un modelo de lenguaje. La arquitectura RAG expone un vector de ataque particularmente peligroso: el corpus de documentos que alimenta al recuperador. Mientras que la mayoría de las revisiones de seguridad se centran en el modelo y la entrada del usuario, el verdadero riesgo reside en el contenido que se indexa y recupera. Un atacante puede inyectar instrucciones ocultas en documentos aparentemente inocuos (texto blanco sobre fondo blanco, metadatos en HTML, comentarios de código) que, al ser recuperados, modifican el comportamiento del modelo. Este fenómeno, conocido como inyección indirecta de prompt, permite que el modelo ejecute acciones no autorizadas si tiene acceso a herramientas externas. Por eso, en aplicaciones a medida que integran inteligencia artificial, es crítico tratar el contenido recuperado como datos, no como instrucciones. Separar estructuralmente en el prompt el material de referencia de la pregunta del usuario, etiquetándolo explícitamente como no confiable, reduce drásticamente la tasa de éxito de ataques obvios. Sin embargo, esto no es suficiente. Es necesario implementar capas de saneamiento tanto en la ingesta (eliminar comentarios, renderizar HTML sin cabeza, extraer PDF con conciencia de color) como en tiempo de consulta (expresiones regulares y clasificadores ligeros). En Q2BSTUDIO, al desarrollar ia para empresas, aplicamos este enfoque multicapa, combinando servicios cloud aws y azure para escalar el procesamiento y garantizar que cada paso se audite. Además, el control de acceso por tenencia es fundamental: usar índices por inquilino o políticas de seguridad a nivel de base de datos (como Row-Level Security en Postgres con pgvector) evita que un usuario acceda a documentos de otro. Un fallo silencioso común es aplicar filtros de metadatos después de la recuperación, cuando el vector store ya ha devuelto resultados cruzados. La solución es indexar las columnas de filtro y escribir pruebas unitarias que verifiquen que un tenant incorrecto devuelva cero resultados. La superficie de ataque se amplía cuando el modelo puede llamar herramientas: un agente IA que envía correos o consulta bases de datos debe tener sus parámetros críticos (destinatario, identificador de usuario) fijados desde la sesión, no desde el prompt. Así, incluso si una inyección logra engañar al modelo, el impacto queda acotado. Esta filosofía de diseño, que denominamos 'defensa en profundidad para agentes', es parte de nuestra metodología en software a medida. Por último, el registro y la trazabilidad no deben descuidarse: los logs contienen fragmentos del corpus que pueden ser sensibles. Recomendamos redactar datos personales antes de almacenar, restringir el acceso a los registros y usar herramientas de observabilidad autoalojadas cuando sea necesario. Combinando estas capas (separación estructural, saneamiento dual, control de acceso a nivel de recuperador, herramientas seguras por diseño y registro cuidado) el atacante ve reducida su capacidad efectiva hasta el punto de solo poder afectar la salida de su propia sesión. En Q2BSTUDIO integramos estos patrones en proyectos que van desde servicios inteligencia de negocio con Power BI hasta sistemas complejos de agentes IA, siempre con un enfoque práctico y sin perder de vista la ciberseguridad. La clave está en asumir que el modelo será eventualmente engañado, y diseñar cada componente –desde el recuperador hasta la herramienta– para que incluso en el peor escenario el daño sea mínimo.