Una campaña de 45.000 usuarios en Reddit logró que la IA de DuckDuckGo y Brave afirmara que Trump murió de rabia

Entre el 25 y el 26 de junio de 2026, el subreddit r/poisonai, una comunidad de aproximadamente 45.000 miembros, ejecutó una operación coordinada que expuso una debilidad fundamental en la búsqueda impulsada por IA . Los miembros plantaron una historia fabricada afirmando que el presidente Donald Trump había muerto de rabia después de ser mordido por el vicepresidente JD Vance, quien supuestamente también falleció a causa de la enfermedad . El engaño logró engañar a Duck.ai de DuckDuckGo (impulsado por Claude de Anthropic y GPT de OpenAI) y a la búsqueda con IA de Brave, que presentaron la narrativa falsa como un hecho . Esto no fue solo una broma de internet: fue una demostración en el mundo real de una vulnerabilidad que investigadores de Cornell Tech habían documentado recientemente en un estudio preliminar .

Cómo se construyó el engaño

La campaña de r/poisonai construyó tres capas de evidencia falsa diseñadas para parecer un evento noticioso legítimo:

• Docenas de publicaciones falsas de duelo en Reddit en múltiples hilos, creando la apariencia de discusión y pesar generalizados .
• Capturas de pantalla falsas de Truth Social de Trump, diseñadas para parecer publicaciones oficiales de la cuenta del presidente .
• WKNA News, un sitio de noticias "pink slime" que se hace pasar por un medio legítimo de Virginia Occidental . El sitio publicó múltiples artículos fabricados con fechas del 9 al 22 de junio de 2026 y titulares como "Se enfatiza la concienciación sobre la rabia tras la muerte de JD Vance" y "Preguntas en torno a la muerte de J.D. Vance y la enfermedad en la Casa Blanca" . La IA citó estas páginas como fuentes creíbles .

Qué sistemas de IA fueron engañados

La función AI Search Assist de DuckDuckGo (Duck.ai) dijo con confianza a los usuarios que Trump murió de rabia el 7 de junio de 2026 y que Vance falleció antes que él . Produjo un cuadro de respuesta completo y seguro citando los artículos falsos de WKNA News junto a un artículo real no relacionado de ABC News sobre una víctima de rabia en Ohio como "evidencia" . La búsqueda con IA de Brave también cayó en el mismo engaño, regurgitando la narrativa fabricada .

Ambos sistemas ingirieron el contenido plantado de Reddit y del sitio de noticias falso, y luego lo presentaron como verdad porque la narrativa parecía corroborada a través de múltiples fuentes indexadas .

Por qué funcionó: el ataque WARP de Cornell Tech

Un estudio preliminar de investigadores de Cornell Tech (Tingwei Zhang, Harold Trieu y colegas), publicado en arXiv en mayo de 2026, explica directamente la vulnerabilidad explotada por r/poisonai . El artículo, titulado "Deep-Research Agents Can Be Poisoned via User-Generated Content", introdujo un ataque llamado WARP (Web Agent Retrieval Poisoning) .

Los hallazgos clave del estudio incluyen:

• Un solo pasaje envenenado de ~13 palabras plantado en una página de contenido generado por usuarios (Reddit, Wikipedia, Quora) es suficiente para dirigir a un agente de búsqueda profunda con IA hacia el contenido elegido por el atacante .
• Los productos ficticios aparecieron en el 38-62% de las respuestas generadas por IA cuando el texto envenenado se distribuía en múltiples hilos . En una prueba, una frase de 15 palabras que promocionaba una criptomoneda ficticia llamada "BananaCoin" insertada en un solo hilo de Reddit hizo que los agentes de IA la recomendaran como real, citando la propia publicación manipulada como fuente .
• Los agentes de búsqueda profunda obtienen entre el 17 y el 23% de todas las páginas web de sitios de contenido generado por usuarios, lo que crea una superficie de ataque concentrada . Un adversario que envenena una sola página de este tipo a la que se accede con frecuencia puede afectar a muchas consultas relacionadas .

La conexión directa

La campaña de r/poisonai es una demostración en el mundo real de la misma vulnerabilidad que describe el estudio de Cornell Tech. El subreddit utilizó el mismo mecanismo: agentes de búsqueda con IA que ingieren y confían en el contenido generado por usuarios sin distinguirlo de las fuentes autorizadas . Debido a que los agentes de investigación con IA extraen Reddit, sitios de baja credibilidad y foros como fuentes en aproximadamente la mitad de todas las consultas, una campaña de siembra coordinada a través de múltiples hilos creó la apariencia de consenso, que la IA trató como corroboración .

El incidente demuestra que el hallazgo de Cornell Tech no es un artefacto de laboratorio: la misma técnica de envenenamiento con 13 palabras, ampliada con múltiples hilos y un sitio 'pink slime', comprometió con éxito sistemas de IA en producción utilizados por millones de personas .

El problema persistente

El engaño tuvo éxito porque las herramientas de búsqueda con IA no pueden distinguir de forma fiable entre la discusión genuina de los usuarios y las campañas de desinformación coordinadas, especialmente cuando el contenido falso se publica de forma cruzada en múltiples fuentes aparentemente independientes . El sitio WKNA News todavía alberga los artículos fabricados, lo que demuestra la persistencia de este contenido envenenado en la web indexada . Tanto DuckDuckGo como Brave han reconocido el incidente, pero la vulnerabilidad subyacente (agentes de IA que tratan el contenido generado por usuarios como autorizado) permanece sin parchear a nivel arquitectónico .