Los grandes modelos de lenguaje (LLM) que pueden pensar los problemas paso a paso ampliaron de forma notable el rango de tareas que la IA es capaz de abordar. Pero una nueva investigación sugiere que esas mismas capacidades de razonamiento introducen una vulnerabilidad crítica, que podría permitir a un atacante ralentizar estos sistemas hasta dejarlos casi inservibles.
Mientras las generaciones anteriores de LLM producían una respuesta de inmediato, los modelos más avanzados de hoy generan un monólogo interno: descomponen el problema en pasos y razonan sobre la mejor manera de resolverlo antes de responder. Eso les ha permitido enfrentar problemas cada vez más complejos, sobre todo en áreas como la programación y las matemáticas.
¿Qué es el "sobrepensar" en un modelo de IA?
Investigaciones previas ya mostraron que estos modelos tienden a producir cadenas de razonamiento excesivamente largas que aportan poco al resultado, un fenómeno conocido como overthinking o "sobrepensar". En un trabajo presentado esta semana en la Conferencia Internacional de Machine Learning 2026 (ICML), en Seúl, investigadores de la Universidad de Zhejiang y del gigante del comercio electrónico Alibaba, en China, demostraron que pueden inducir ese sobrepensar de forma deliberada al someter a los modelos a prompts lógicamente inconsistentes. El resultado es una forma de ataque de denegación de servicio sobre modelos de IA comerciales.
Un ataque evolutivo sobre los prompts
El equipo desarrolló un algoritmo evolutivo que corrompe la estructura lógica de los prompts, haciendo que los modelos entren en un bucle de sobrepensar mientras intentan razonar problemas que son irresolubles de raíz. Como generar respuestas más largas cuesta más y aumenta la carga sobre los servidores del proveedor, si se hiciera a escala esto podría degradar de forma significativa la experiencia de los usuarios legítimos.
El ataque fue efectivo contra modelos de razonamiento de las principales empresas de IA, incluidos DeepSeek-R1, Qwen3-Thinking de Alibaba, GPT-o3 de OpenAI y Gemini 2.5 Flash de Google, y produjo respuestas hasta 26 veces más largas que las estándar en un benchmark de matemáticas.
"En múltiples conjuntos de datos y modelos de razonamiento, nuestro método amplifica sustancialmente la longitud de la salida", escribió Wei Cao, estudiante de magíster en la Universidad de Zhejiang, en un correo a IEEE Spectrum. "Nuestros resultados sugieren que el sobrepensar no es un fenómeno aislado de modelos individuales, sino una vulnerabilidad compartida entre los modelos de razonamiento modernos".
¿Cómo se construye el prompt malicioso?
El enfoque se apoya en trabajos anteriores que mostraron que los modelos de razonamiento tienden a sobrepensar cuando se elimina una premisa clave de una pregunta, por ejemplo, preguntar cuánto recorre en total alguien que camina diez kilómetros al día, sin especificar cuántos días caminó. En vez de identificar que el problema no tiene solución, los modelos suelen enredarse en bucles de razonamiento largos pero inútiles.
Los autores tomaron 940 problemas de tres conjuntos de datos de matemáticas y usaron un LLM para descomponer su estructura lógica en un conjunto de premisas y una pregunta final. Luego un algoritmo genético los mezcló con distintas "mutaciones": intercambiar premisas entre problemas, agregar premisas extra, borrar premisas existentes y cambiar las preguntas finales entre dos conjuntos de premisas.
Tras cada ronda, los problemas se puntúan según cuántas palabras hacen que produzca el modelo objetivo y según si aumentan la frecuencia de marcadores lingüísticos del sobrepensar, palabras como "pero", "espera", "quizás" o "alternativamente". Los que puntúan más alto se conservan y el resto se vuelve a mezclar, repitiendo el proceso por cinco generaciones. Lo importante es que el método no requiere acceso al interior del modelo y puede generar prompts maliciosos con solo consultar al objetivo, lo que hace posible atacar servicios comerciales de código cerrado.
Una superficie de ataque real, aunque no barata
El mayor salto lo produjo DeepSeek-R1 sobre el conjunto MATH, formado por problemas de olimpiadas de matemáticas de secundaria, donde la salida máxima llegó a ser 26,1 veces más larga que la respuesta más extensa que el modelo daba a preguntas sin alterar. El equipo también lo probó en desafíos de programación, razonamiento científico y diálogo, con aumentos significativos de longitud en los tres.
Un obstáculo del enfoque es que desarrollar los prompts maliciosos exige consultas repetidas a modelos de razonamiento caros, lo que según Cao podría limitar su costo-efectividad. Sin embargo, los investigadores también demostraron que, al usar un modelo más pequeño y barato para generar los prompts, seguían logrando que los modelos objetivo produjeran salidas varias veces más largas de lo normal. Esa capacidad de transferir prompts maliciosos entre modelos aumenta bastante la viabilidad del ataque.
Con todo, Cao aclara que el objetivo de la investigación no es desarrollar un ataque práctico. Factores como el modelo de precios de los proveedores, las políticas de límite de tasa, el tamaño de la ventana de contexto y las defensas existentes pueden influir en su efectividad. La intención es más bien exponer la vulnerabilidad de estos modelos ante prompts lógicamente inconsistentes, para que los proveedores intenten mitigar el problema.
"Nuestro objetivo no es demostrar que se pueden lanzar ataques a gran escala a un costo insignificante, sino establecer que esta superficie de ataque existe", escribió. "Nuestros resultados indican que la vulnerabilidad representa una preocupación de seguridad realista".




