Los LLMs también se comen fake news

Durante años, las fake news fueron entendidas como un problema humano: contenido falso, manipulado o sacado de contexto, diseñado para influir sobre personas.

Los modelos de lenguaje cambian esa escala.

Un LLM no “cree” una noticia falsa como lo haría una persona. No tiene convicciones, intuición ni criterio periodístico. Pero puede recuperar, resumir, repetir o incorporar información falsa si esa información aparece dentro del contexto que consume.

En otras palabras: los LLMs también se comen fake news.

Y cuando esos modelos dejan de ser simples chatbots y empiezan a alimentar agentes, copilots, buscadores, sistemas RAG o flujos de decisión, la desinformación deja de ser solamente contenido.

Pasa a ser contexto operativo.


La web dejó de ser solo información

Durante años, internet fue un espacio de publicación, búsqueda y lectura.

Las personas buscaban información.
Los buscadores ordenaban resultados.
Los sitios competían por aparecer.

Los modelos de lenguaje cambiaron esa relación.

Hoy, una parte creciente de los sistemas basados en IA consume la web no solo como contenido, sino como contexto: información que puede ser recuperada, resumida, incorporada a una respuesta o utilizada por un agente para decidir una acción.

Ese cambio abre una nueva superficie de ataque.

No sobre servidores.
No sobre credenciales.
Sobre el contexto.


De SEO a manipulación de contexto

El SEO clásico buscaba influir sobre motores de búsqueda.

El objetivo era aparecer más arriba en Google, captar tráfico y atraer personas hacia un sitio.

Con los modelos de lenguaje aparece una lógica distinta.

Ahora el contenido puede ser escrito no solo para humanos, sino para sistemas que:

  • recuperan información;
  • resumen documentos;
  • generan recomendaciones;
  • alimentan chatbots;
  • asisten decisiones;
  • operan agentes conectados a herramientas.

La pregunta ya no es solamente:
“¿Cómo logro que una persona encuentre mi contenido?”

La nueva pregunta es:
“¿Cómo logro que un modelo lo recupere, lo considere relevante y lo incorpore a su respuesta?”

Ese es el cambio de fondo.

Empieza a aparecer una nueva disciplina alrededor de esto: AEO, GEO o posicionamiento para respuestas generadas por IA. La diferencia es importante: el SEO tradicional busca aparecer en una lista de resultados; el AEO/GEO busca ser citado o incorporado dentro de una respuesta generada por un sistema de IA.


No es solo prompt injection

Cuando se habla de seguridad en modelos de lenguaje, muchas veces aparece primero el concepto de prompt injection.

Un prompt injection ocurre cuando una instrucción maliciosa modifica el comportamiento del modelo durante la inferencia. Por ejemplo, una orden oculta dentro de un documento, una página web o un mensaje que intenta hacer que el modelo ignore sus reglas originales.

Pero ese es solo un tipo de problema.

También existe el LLM poisoning, donde el ataque ocurre antes o alrededor del uso del modelo: en datos de entrenamiento, procesos de fine-tuning, bases documentales, sistemas RAG o fuentes externas que el modelo consulta.

DigitalOcean distingue estos planos de forma clara: el poisoning afecta entrenamiento, fine-tuning o recuperación, mientras que el prompt injection ocurre durante la inferencia.

En términos simples:

  • prompt injection manipula instrucciones;
  • data poisoning manipula aprendizaje;
  • retrieval poisoning manipula el contexto recuperado.

Los tres problemas se cruzan cuando los modelos empiezan a operar sistemas reales.


La tesis incómoda: no hacen falta grandes volúmenes

Una intuición común es pensar que los modelos grandes son más resistentes porque entrenan con enormes cantidades de datos.

La investigación reciente empieza a mostrar algo distinto.

Anthropic publicó una lectura directa de este problema: una pequeña cantidad de muestras puede envenenar LLMs de cualquier tamaño, lo que cuestiona la idea de que el volumen de datos limpios alcanza para diluir contenido malicioso.

El paper Poisoning Attacks on LLMs Require a Near-Constant Number of Poison Samples plantea que los ataques de poisoning deben analizarse por el número absoluto de ejemplos envenenados, no solo por el porcentaje del dataset. En sus experimentos, 250 documentos envenenados lograron comprometer modelos de 600M a 13B parámetros, incluso cuando los modelos más grandes entrenaban con más de 20 veces más datos limpios.

El mismo trabajo también muestra que el efecto aparece durante fine-tuning: la cantidad absoluta de muestras envenenadas fue el factor dominante, incluso cuando se aumentó el volumen de datos limpios por dos órdenes de magnitud.

Esto rompe una idea peligrosa:

“Si el modelo es grande, el ruido se diluye.”

No necesariamente.

A escala, el problema puede volverse más difícil de ver, no menos relevante.


El caso Reddit: una frase puede alcanzar

El problema ya no vive solo en papers.

Investigaciones recientes sobre agentes de búsqueda muestran que contenido breve publicado en plataformas de usuarios puede influir en respuestas generadas por sistemas de IA.

Help Net Security explicó este fenómeno bajo el nombre WARP (Web Agent Retrieval Poisoning): el atacante identifica páginas que los agentes suelen recuperar, inserta contenido breve y, una vez indexado, ese contenido puede ser usado por sistemas de IA en futuras respuestas. Según esa cobertura, el ataque no requiere acceso al modelo, al prompt ni a la infraestructura de recuperación; basta con poder contribuir contenido a una plataforma pública.

Tom’s Guide también resumió la investigación señalando que comentarios breves en sitios como Reddit podían influir en agentes de búsqueda para recomendar contenido falso, spam o directamente fraudulento.

Esto es clave.

La manipulación ya no necesita vulnerar el sistema.
Puede modificar lo que el sistema considera contexto.


Por qué Reddit pesa tanto en los sistemas de IA

Reddit se volvió una fuente especialmente valiosa para modelos, buscadores y agentes de investigación porque concentra algo difícil de replicar: lenguaje humano en contexto.

A diferencia de una página corporativa o un artículo escrito para SEO, Reddit contiene preguntas reales, experiencias personales, comparaciones, objeciones, recomendaciones y discusiones entre usuarios. Para un sistema de IA, ese tipo de contenido se parece mucho al lenguaje con el que las personas formulan dudas prácticas.

Por eso Reddit aparece cada vez más cerca del centro del ecosistema de IA.

OpenAI anunció una alianza con Reddit para acceder a su Data API e incorporar contenido actualizado de Reddit en ChatGPT y nuevos productos. La compañía explicó que ese acceso permite a sus herramientas comprender y mostrar mejor contenido de Reddit, especialmente en temas recientes.

Google también amplió su alianza con Reddit. Según Google, el acceso a la Data API de Reddit le permite obtener información más fresca y estructurada, además de señales que ayudan a comprender, mostrar, entrenar y utilizar contenido de Reddit con mayor precisión en sus productos.

El vínculo entre Reddit y los modelos de lenguaje tampoco es nuevo. GPT-2, por ejemplo, fue entrenado sobre un dataset de millones de páginas web; OpenAI explicó que ese modelo fue entrenado con 40GB de texto de internet y un dataset de 8 millones de páginas web. Ese dataset, conocido como WebText, usaba enlaces compartidos en Reddit como mecanismo de curación: la lógica era usar el voto humano de comunidades reales como señal de calidad del contenido.

Esto explica por qué Reddit pesa tanto: no porque la palabra “Reddit” sea mágica, sino porque la plataforma combina conversación humana, actualidad, volumen, granularidad y señales sociales.

Pero esa misma utilidad crea una vulnerabilidad.

Cuando un sistema de IA busca una respuesta y recupera contenido de Reddit, una publicación o comentario puede convertirse en contexto para el modelo. Investigaciones recientes sobre WARP (Web Agent Retrieval Poisoning) muestran que los agentes de investigación profunda recuperan con frecuencia contenido generado por usuarios —incluyendo Reddit, Wikipedia y foros— porque ofrecen explicaciones detalladas y cobertura amplia. El paper muestra que entre el 17% y el 23% de las URLs recuperadas por estos agentes provenían de plataformas de contenido generado por usuarios, y que una sola página de ese tipo podía aparecer en hasta el 48% de consultas relacionadas dentro de un mismo tema.

El riesgo es directo: si un atacante inserta contenido en una página que el agente ya suele recuperar —por ejemplo, un comentario en un hilo popular de Reddit— puede influir en respuestas futuras sin acceder al modelo, al prompt ni a la infraestructura de búsqueda. Help Net Security resume el hallazgo con claridad: un comentario breve en Reddit puede terminar influyendo respuestas generadas por herramientas de investigación con IA, y textos de apenas 13 palabras fueron suficientes para afectar salidas en ciertos escenarios evaluados.

Esto ya está modificando la forma en que se escribe para internet.

En el SEO clásico, los atacantes y marketers intentaban posicionar páginas para buscadores. En la nueva etapa, empiezan a optimizar contenido para que sea recuperado, citado o incorporado por modelos. Eso puede incluir crear publicaciones en plataformas como Reddit, comentar en hilos que ya tienen autoridad, replicar mensajes en varias páginas o incluso incorporar términos como “Reddit” en artículos externos para asociar el contenido con una señal que los sistemas de IA suelen considerar útil.

La palabra no garantiza nada por sí sola.

Pero en un ecosistema donde modelos, buscadores y agentes compiten por contexto humano reciente, “Reddit” puede funcionar como una señal semántica de conversación real, experiencia de usuario y consenso informal.

Esa es la nueva superficie de manipulación.

No se trata solo de engañar a personas.

Se trata de influir en lo que los modelos recuperan como contexto.


El caso del periodista y los panchos

Un ejemplo simple muestra por qué esto ya no es teoría.

El periodista Thomas Germain, de la BBC, publicó en su sitio personal una página falsa donde afirmaba que era uno de los mejores periodistas tecnológicos comiendo panchos.

La historia era inventada.
Pero estaba escrita y publicada de forma suficientemente legible para sistemas de búsqueda e IA.

Poco después, ChatGPT y Google comenzaron a repetir esa información como si fuera un dato válido. Scientific American describió el caso como un experimento simple que expuso una falla seria en herramientas comunes de inteligencia artificial.

Business Insider intentó replicar el experimento y explicó que el caso original funcionó porque la página falsa de Germain fue capturada por sistemas que rastrean la web e incorporada como si fuera información factual.

El punto no es el pancho.

El punto es que una afirmación falsa, publicada en el lugar adecuado y con la forma adecuada, puede convertirse en contexto recuperable para un modelo.

Eso muestra una diferencia clave con el SEO tradicional. Antes, una página falsa podía intentar ganar visibilidad en buscadores. Ahora, además, puede ser incorporada por un modelo como insumo para generar una respuesta.


Cuando una fake news deja de ser solo contenido

Una noticia falsa, una afirmación manipulada o un contenido artificialmente repetido puede ingresar en una base documental, en un sistema RAG o en una fuente que el modelo considera relevante.

Si el sistema no valida el origen, la calidad y el contexto de esa información, el modelo puede incorporarla como parte de una respuesta.

El riesgo no es que el modelo “crea” la fake news.

El riesgo es que la trate como contexto válido.

Y si ese modelo está conectado a un agente, a un flujo de decisión o a una herramienta operativa, la desinformación puede influir en una recomendación, alterar una priorización o contaminar una decisión automatizada.

Antes una fake news podía engañar a una persona.

Ahora también puede alimentar un sistema.


Cuando el contexto empieza a operar sistemas

El riesgo cambia cuando el modelo deja de ser un chatbot pasivo.

Un asistente conversacional que solo responde texto puede equivocarse.

Pero un agente conectado a herramientas puede actuar.

Puede:

  • consultar documentación interna;
  • llamar APIs;
  • ejecutar workflows;
  • crear tickets;
  • enviar correos;
  • modificar registros;
  • priorizar tareas;
  • recomendar decisiones.

En ese contexto, el contenido recuperado no es solo una referencia.

Puede convertirse en parte de la cadena de decisión.

Una frase manipulada en una fuente externa puede influir en una recomendación.
Una recomendación puede activar una acción.
Una acción puede impactar una operación real.

Ese es el salto de riesgo.


El problema estructural

El problema no es que los modelos “lean internet”.

El problema es construir sistemas donde contexto, instrucciones, permisos y ejecución viajan demasiado cerca unos de otros.

Cuando un modelo consume información externa y además tiene capacidad de actuar, la arquitectura debe responder preguntas concretas:

  • ¿De dónde viene este contexto?
  • ¿Qué nivel de confianza tiene?
  • ¿Puede modificar una decisión?
  • ¿Puede activar una herramienta?
  • ¿Debe ser citado, verificado o descartado?
  • ¿Qué pasa si la fuente fue manipulada?

Sin esas respuestas, el sistema opera sobre una realidad que puede haber sido contaminada.


Qué implica para empresas y organismos

A medida que organizaciones públicas y privadas incorporan chatbots, copilots y agentes internos, este problema deja de ser académico.

Afecta sistemas que pueden estar conectados a:

  • documentación legal;
  • expedientes;
  • bases de clientes;
  • sistemas financieros;
  • infraestructura cloud;
  • reportes internos;
  • tableros ejecutivos;
  • operaciones críticas.

En ese contexto, no alcanza con preguntar si el modelo responde bien.

Hay que preguntar sobre qué contexto responde.
Qué fuentes usa.
Qué permisos tiene.
Qué puede ejecutar.
Qué queda registrado.

La integridad del contexto se vuelve tan importante como la calidad del modelo.


El enfoque en Atlas Analytica

En Atlas Analytica trabajamos con modelos, agentes y sistemas de recuperación como componentes de infraestructura operativa.

Por eso el problema no se aborda solamente desde el prompt.

Se aborda desde arquitectura:

  • control contextual;
  • trazabilidad de fuentes;
  • separación entre interpretación y ejecución;
  • ontologías operativas;
  • recuperación estructurada;
  • permisos explícitos;
  • auditoría de acciones;
  • límites humanos en decisiones críticas.

El objetivo no es que un modelo “parezca inteligente”.

El objetivo es que un sistema pueda operar con información confiable, bajo reglas claras y con responsabilidad institucional.


Cierre

Los LLMs también se comen fake news.

No porque crean en ellas.
Sino porque pueden recuperarlas, procesarlas e incorporarlas como contexto.

Y cuando ese contexto alimenta agentes, copilots o sistemas conectados a herramientas, el problema deja de ser solamente editorial.

Pasa a ser operativo.

La web dejó de ser solo información.

Hoy también es contexto para modelos, entrada para agentes y materia prima para sistemas de decisión.

Cuando el contexto se convierte en infraestructura, su integridad deja de ser opcional.



  • Anthropic — artículo sobre cómo una pequeña cantidad de muestras puede envenenar LLMs de distintos tamaños.
  • DigitalOcean — explicación sobre LLM poisoning, prompt injection y ataques sobre RAG.
  • Souly et al. — paper Poisoning Attacks on LLMs Require a Near-Constant Number of Poison Samples.
  • Help Net Security — cobertura sobre WARP y manipulación de agentes de búsqueda usando contenido en plataformas como Reddit.
  • Tom’s Guide — resumen de la investigación sobre comentarios breves en Reddit y manipulación de recomendaciones en sistemas de IA.
  • Scientific American — episodio sobre el experimento de Thomas Germain y los panchos.
  • Business Insider — intento de replicación del caso Germain y análisis sobre cómo una página falsa puede influir en respuestas de IA.