Un episodio que parece sacado de Silicon Valley (la serie de HBO, no el lugar) se desarrolló esta semana cuando se descubrió malware de robo de credenciales en LiteLLM, un proyecto open source graduado de Y Combinator que ofrece acceso unificado a cientos de modelos de IA y es descargado hasta 3,4 millones de veces al día, según Snyk. El proyecto tenía 40.000 estrellas en GitHub y miles de forks. Y ostentaba orgullosamente en su web las certificaciones SOC 2 e ISO 27001 —los estándares de seguridad que las empresas exigen antes de integrar software de terceros—.El problema: esas certificaciones fueron emitidas por Delve, la startup de cumplimiento automatizado respaldada por Y Combinator y valorada en 300 millones de dólares tras una Serie A de 32 millones liderada por Insight Partners. Delve fue acusada días antes, mediante una publicación anónima en Substack, de fabricar datos de cumplimiento falsos, usar auditores que sellan informes mecánicamente y engañar a clientes sobre su verdadero estado de conformidad. Delve niega las acusaciones.El malware entró a través de una dependencia comprometida: Trivy, un escáner de seguridad open source usado en el pipeline CI/CD de LiteLLM. Los atacantes (conocidos como TeamPCP) reescribieron tags de Git en el repositorio de Trivy para apuntar a una versión maliciosa, extrajeron el token de publicación de PyPI del entorno de GitHub Actions, y publicaron dos versiones infectadas de LiteLLM (1.82.7 y 1.82.8) que estuvieron disponibles durante aproximadamente tres horas antes de que PyPI las pusiera en cuarentena.El malware fue descubierto por Callum McMahon, investigador de FutureSearch. Irónicamente, un bug en el propio malware causó que su máquina se bloqueara al descargar LiteLLM —una especie de fork bomb accidental—. Tanto McMahon como Andrej Karpathy (investigador de IA de referencia) concluyeron que el malware probablemente fue «vibe coded» (generado con IA), dada su chapucera ejecución.LiteLLM está trabajando con Mandiant (la división de respuesta a incidentes de Google) para remediar el ataque.Mi valoración: este caso expone dos fallas sistémicas simultáneas en la infraestructura de IA. Primera: la cadena de suministro open source es tan fuerte como su eslabón más débil. Un escáner de seguridad comprometido infecta un proyecto usado millones de veces al día. Segunda: las certificaciones de seguridad pueden ser teatro si el proceso de auditoría no es riguroso. Que una empresa con SOC 2 e ISO 27001 sea infectada no invalida las certificaciones en sí —están diseñadas para reducir probabilidad, no garantizar inmunidad—, pero que la empresa que emitió esas certificaciones esté acusada de fabricarlas convierte la situación en una parodia.Preguntas frecuentes¿Qué es LiteLLM? Un proyecto open source que da acceso unificado a cientos de modelos de IA, con gestión de gasto. Descargado hasta 3,4M veces/día.¿Cómo entró el malware? A través de Trivy, un escáner de seguridad comprometido en el pipeline CI/CD. Los atacantes robaron el token de PyPI y publicaron versiones infectadas.¿Qué es Delve? La startup que emitió las certificaciones SOC 2 e ISO 27001 de LiteLLM. Está acusada de fabricar auditorías, lo que Delve niega.La noticia LiteLLM, el proyecto de IA descargado 3,4 millones de veces al día, tenía malware. Y su certificación de seguridad la hizo una startup acusada de fabricar auditorías fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.