Por Diego Navarro Salman*
Un juzgado laboral brasileño detectó el primer intento documentado de manipular, mediante instrucciones ocultas, la inteligencia artificial que presta soporte al tribunal. El episodio, que parece anecdótico, es en realidad una advertencia sobre la diligencia que esta nueva etapa exige al abogado. A fines de mayo, en un juzgado de la Justicia del Trabajo de Parauapebas, Las abogadas de la parte demandante en una reclamación laboral incorporaron en su escrito un texto invisible —letra blanca sobre fondo blanco— que ningún lector humano podía percibir, pero que el sistema de inteligencia artificial del tribunal sí leería. El mensaje oculto instruía a la máquina a tratar la presentación de forma superficial y a no impugnar los documentos acompañados, cualquiera fuese la orden que recibiera después. El juez advirtió la anomalía mediante una auditoría técnica elemental: seleccionó el texto y cambió el color de fondo, dejando los comandos a la vista. Calificó la conducta como un sabotaje algorítmico institucional y un atentado contra la dignidad de la justicia, impuso una multa equivalente al 10% del valor de la causa —más de 84.000 reales— y ordenó remitir los antecedentes a los órganos disciplinarios. La responsabilidad, precisó, recaía en las profesionales como autoras técnicas de la pieza, no en la representada. Llamativamente, la demandante había obtenido sentencia favorable sobre el fondo por la rebeldía del demandado: la manipulación no solo fue ilícita, sino innecesaria.
Qué es, en simple, un prompt injection
En términos simples, un modelo de lenguaje no distingue con fiabilidad entre dos cosas que para nosotros son evidentemente distintas: las instrucciones que le da su operador legítimo y el contenido que se le pide leer. Para el sistema, ambos llegan como texto. Un prompt injection —inyección de instrucciones— consiste, precisamente, en esconder órdenes dentro del material que la IA va a procesar, para que las obedezca como si provinieran de su principal. Imagine un asistente legal con memoria fotográfica, pero incapaz de diferenciar la indicación del juez de una nota que un tercero incluyó en el expediente. Ejecutará ambas con idéntica obediencia. El caso brasileño es la versión más rudimentaria de ese problema — texto oculto en el propio escrito— y por eso fue relativamente fácil de detectar. El riesgo real está un escalón más arriba.
La manipulación que no se ve
Las instrucciones maliciosas no necesitan vivir en el documento principal ni en letra blanca. Pueden esconderse en un archivo compartido, en una nota al pie, en los metadatos de un PDF, en el texto de una imagen que el modelo lee por reconocimiento óptico, en una cita aparentemente inocua o en una página web que se le pide consultar. Cualquier fuente que la herramienta procese es un vector posible. A medida que incorporamos IA para revisar contratos, resumir expedientes o analizar prueba documental, multiplicamos los puntos por donde un tercero podría introducir órdenes que nunca dimos.
El salto de riesgo: las herramientas que actúan
Hasta aquí hablamos de sistemas que leen y redactan. La frontera más delicada son los agentes que actúan. Herramientas como Comet, de Perplexity; Claude Cowork, de Anthropic; o agentes autónomos como OpenClaw no se limitan a responder: operan el navegador o la pantalla, visitan sitios, completan formularios, leen archivos del equipo y pueden enviar información, todo en nombre del usuario y con sus credenciales. El problema es que aquí el atacante no necesita acceder a su computador. Le basta con controlar lo que el agente ve. Una página web manipulada puede contener instrucciones dirigidas al agente que la visita — invisibles para el usuario— que le ordenen, por ejemplo, localizar archivos del cliente, extraer información confidencial y remitirla a un tercero. El usuario creyó encargar una tarea rutinaria; el agente, hábilmente redirigido por contenido externo, ejecutó una fuga de datos. Para una profesión cuyos pilares son el secreto profesional y el deber de custodia de la información del cliente, el escenario no es anecdótico: es potencialmente catastrófico.
La competencia tecnológica como deber profesional
La lección del caso en Brasil no es que la IA sea peligrosa y deba evitarse. Es que su uso responsable exige una competencia que hasta hace poco considerábamos ajena al oficio. Conocer la tecnología que se utiliza —sus límites, los datos que toca, los permisos que concede, los puntos por donde puede ser engañada— ha dejado de ser una habilidad exclusiva del técnico para convertirse en un componente de la diligencia debida. En jurisdicciones como Estados Unidos, el deber de competencia del abogado ya comprende expresamente la competencia tecnológica; es razonable anticipar que la discusión llegue, tarde o temprano, a la nuestra. En lo inmediato, hay prácticas elementales que ningún estudio debería postergar: auditar los documentos que ingresan al expediente en busca de texto oculto; mantener revisión humana sobre todo producto que la IA genere; no delegar el criterio jurídico en la máquina; y, sobre todo, tratar a los agentes que actúan con la misma prudencia con que confiaríamos a un asistente el acceso a la caja fuerte del estudio: con permisos acotados, supervisión y desconfíenanza profesional. El derecho ha sabido convivir con el fraude procesal durante siglos. Lo nuevo no es la mala fe, sino su superficie de ataque. El profesional que no entienda, siquiera en lo básico, cómo funciona la tecnología que ha incorporado a su práctica difícilmente estará en condiciones de cumplir sus deberes más antiguos.
*Diego Navarro Salman es abogado y emprendedor tecnológico. Es Fundador y CEO de SPEKTR, startup especializada en infraestructuras de inteligencia artificial jurídica Preside el Comité de Inteligencia Artificial de ALTECH (Asociación de Legaltech de Chile) e integra el Comité de IA, Derecho y Formación Jurídica de la Universidad Autónoma de Chile.
