En julio de 2025, Nikkei Asia encontró prompts ocultos dentro de decenas de preprints científicos en arXiv: instrucciones que solo un revisor con inteligencia artificial podía leer.
El hallazgo expuso algo más amplio: cuando un revisor delega la lectura completa de un paper en un modelo de lenguaje, un prompt oculto en el propio documento puede manipular el veredicto. Esta nota explica qué pasó, cómo funciona la técnica y cómo detectarla con herramientas simples.
TL;DR
- Nikkei Asia detectó en julio de 2025 texto oculto en más de una decena de preprints de arXiv que pedían a la IA "dar solo comentarios positivos".- Las instrucciones ocultas usaban texto blanco sobre fondo blanco o tamaño de fuente casi cero, invisibles para un revisor humano.- Los papers pertenecían a investigadores de universidades en Japón, Corea del Sur, China, Singapur y Estados Unidos.- La técnica explota que muchos revisores usan asistentes de IA para generar o resumir sus reportes de revisión.- Conferencias de machine learning ya piden declarar o directamente prohíben el uso de LLMs en el proceso de revisión por pares.- Herramientas como
pdftotextopypdfpermiten extraer el texto oculto de un PDF y revelar la manipulación.- El caso reabre el debate sobre la integridad del peer review cuando la IA entra en el circuito de evaluación científica.
Qué pasó
Un reporte de Science News confirmó que las herramientas de IA pensadas para vetar la calidad de un paper son sorprendentemente fáciles de engañar con prompts ocultos. El mecanismo es simple: alguien inserta un párrafo de texto en el mismo color que el fondo del documento, o con un tamaño de fuente tan pequeño que resulta ilegible a simple vista.
Ese párrafo contiene una instrucción directa: pedirle al revisor automatizado que ignore los defectos del trabajo y entregue una evaluación positiva. Si un revisor humano copia el texto del PDF y se lo pasa a un asistente de lenguaje para armar un resumen o un borrador de reporte, el modelo lee también la instrucción escondida y la obedece.
El fenómeno no es exclusivo de un área: los preprints con prompts ocultos aparecieron primero en papers de aprendizaje automático, pero la misma técnica aplica a cualquier disciplina que use arXiv u otros repositorios abiertos como canal de distribución previo a la revisión formal.
El caso tampoco quedó aislado: hallazgos similares se reportaron poco después en repositorios de otras disciplinas, lo que sugiere que la técnica se replicó rápido una vez que la primera cobertura mediática explicó cómo hacerla.
Contexto e historia
La inyección de prompts no nació en el mundo académico. Es la misma familia de ataque que afecta a chatbots y asistentes conectados a contenido externo: un texto que el sistema interpreta como una instrucción legítima aunque provenga de una fuente que no debería tener autoridad para dar órdenes. La inyección de prompts ya se había documentado en buscadores con IA, correos electrónicos y páginas web antes de llegar a los papers científicos.
Lo que cambió en 2025 fue el contexto de uso. Cada vez más revisores, saturados de solicitudes de revisión y con plazos ajustados, empezaron a apoyarse en modelos de lenguaje para acelerar la lectura de un manuscrito o para redactar el reporte final. Esa práctica, casi nunca declarada formalmente, abrió la puerta a que el propio documento revisado se convirtiera en el vector de ataque.
Antes de este caso ya existían advertencias sobre el riesgo. Investigadores en seguridad de IA venían señalando desde 2023 que cualquier flujo de trabajo donde un modelo lee contenido no confiable (un correo, una página web, un PDF) es vulnerable a instrucciones ocultas. Los papers con prompts ocultos son, en ese sentido, la versión académica de un problema ya conocido en otros contextos.
El texto oculto solo aparece al extraer el contenido del PDF, no al leerlo.
Cómo funciona la inyección de prompts ocultos en papers
Los prompts ocultos en papers dependen de una asimetría muy simple: lo que ve un ojo humano en un PDF no siempre coincide con lo que extrae un programa que procesa el mismo archivo como texto plano. Un PDF es, en el fondo, un conjunto de objetos gráficos con posición y color, no un documento de texto puro.
Técnica de ocultamientoCómo funcionaCómo detectarlaRiesgoTexto blanco sobre fondo blancoEl color de la fuente coincide con el color del fondo de la páginapdftotext -layer o seleccionar todo el texto con el mouseAlto: invisible a simple vistaTamaño de fuente casi ceroEl texto existe en el documento pero es ilegible sin herramientaspdffonts para listar los tamaños de fuente usadosAltoTexto fuera del área visibleLas coordenadas del texto quedan fuera del margen de la páginaExtraer todos los objetos de texto con pypdfMedioComandos LaTeX invisiblesInstrucciones dentro del código fuente .tex que no se renderizanRevisar el archivo fuente en el repositorio del paperMedio
Poco después de conocerse los primeros casos, algunos organizadores de conferencias empezaron a correr sus propios scripts de detección sobre los envíos recibidos, replicando en esencia el mismo procedimiento que cualquier persona puede ejecutar con las herramientas descritas arriba.
El flujo completo, desde que el autor esconde el texto hasta que el revisor recibe una evaluación sesgada, se puede resumir así:
flowchart TD
A["Autor escribe el paper"] --> B["Inserta texto oculto (blanco sobre blanco)"]
B --> C["Sube el PDF a arXiv"]
C --> D["Revisor humano lee el PDF"]
C --> E["Revisor usa un asistente de IA"]
E --> F["El modelo lee el prompt oculto"]
F --> G["Genera una revision positiva sesgada"]
El punto débil no está en el modelo de lenguaje en sí. Está en el flujo de trabajo: nadie valida que el texto que recibe la IA sea exactamente el mismo que ve el revisor humano.
⚠️ Ojo: un prompt oculto no ataca ningún exploit de software, ataca la confianza del proceso de revisión por pares cuando un humano delega la lectura completa del paper a una IA.
Cómo detectarlo vos mismo
Detectar prompts ocultos en papers no requiere herramientas exóticas. Alcanza con dos utilidades de línea de comandos que ya vienen en la mayoría de distribuciones Linux o se instalan con un solo paquete.
sudo apt install poppler-utils
pdftotext -layer paper.pdf - | grep -iE "ignore|positive review|solo comentarios positivos"
pdffonts paper.pdf | awk '$3 pdftotext -layer revela capas de texto invisibles al ojo humano.
## Impacto y respuesta de la comunidad científica
La reacción más inmediata vino de las propias conferencias. Varios comités de programa en machine learning reforzaron sus políticas para exigir que cualquier uso de un modelo de lenguaje durante la revisión se declare explícitamente, y algunas directamente lo prohíben como sustituto de la lectura humana.
> **💭 Clave:** la técnica no depende de ningún exploit de software, depende de que el revisor humano no lea el PDF completo antes de pedirle un resumen a un modelo de lenguaje.
Para arXiv y otros repositorios, el caso plantea un problema de moderación nuevo: hasta ahora el filtro automático se enfocaba en detectar plagio o contenido generado íntegramente por IA, no texto oculto diseñado para manipular a un tercer sistema. Añadir ese chequeo implica correr herramientas como las mencionadas arriba sobre cada envío, algo que no todos los repositorios hacen hoy de forma sistemática.
Encuestas informales entre revisores ya sugerían, antes de este caso, que una parte de ellos admitía usar asistentes de IA para redactar sus reportes, aunque pocas veces lo declaraba formalmente ante el comité editorial. Para los propios autores detectados, el episodio también tiene un costo reputacional: una vez identificados, los papers con prompts ocultos quedan marcados como un intento de manipular el proceso de revisión, independientemente de la calidad real del trabajo.
## Qué sigue
Es esperable que los repositorios de preprints y las plataformas de gestión de revisiones empiecen a correr un chequeo automático de texto oculto antes de aceptar un envío, similar a como ya corren detectores de plagio. También es probable que más conferencias exijan una declaración explícita de uso de IA en el proceso de revisión, con consecuencias claras si se detecta texto manipulador.
El problema de fondo (que un sistema procese como instrucción cualquier texto que reciba sin distinguir su origen) sigue sin una solución definitiva y no es exclusivo del mundo académico. Los mismos principios de detección que sirven acá, aislar el contenido no confiable y no ejecutar instrucciones que vengan del documento en sí, se discuten hoy en el diseño de agentes de IA que leen correos, páginas web o tickets de soporte.
Probalo vos: bajá cualquier preprint de arXiv en PDF y corré `pdftotext -layer paper.pdf - | less` para ver si aparece texto que el ojo humano no detecta a simple vista.
📖 Resumen en Telegram: [Ver resumen](#)
## Preguntas frecuentes
### ¿Qué es exactamente un prompt oculto en un paper?
Es un fragmento de texto insertado en el documento (con el mismo color que el fondo, un tamaño de fuente casi nulo o fuera del área visible) que instruye a cualquier IA que lea el archivo a comportarse de una forma específica, como dar solo comentarios positivos.
### ¿Por qué un revisor humano no lo detecta a simple vista?
Porque el texto está diseñado para ser invisible en la representación visual del PDF: mismo color que el fondo o tamaño de fuente imperceptible. Solo aparece al extraer el contenido como texto plano con herramientas como `pdftotext` o `pypdf`.
### ¿Las conferencias científicas ya prohíben usar IA para revisar papers?
Varias conferencias de machine learning exigen declarar el uso de modelos de lenguaje durante la revisión y algunas lo prohíben como reemplazo de la lectura humana, aunque no existe todavía una política unificada entre todas las disciplinas.
### ¿Cómo puedo revisar si un PDF que recibí tiene texto oculto?
Corriendo `pdftotext -layer archivo.pdf -` y buscando frases de instrucción, o usando `pdffonts` para detectar fuentes con un tamaño anormalmente pequeño.
### ¿Esto es lo mismo que la inyección de prompts en chatbots?
Es la misma familia de ataque. En ambos casos, un sistema basado en un modelo de lenguaje procesa contenido externo (una página web, un correo, un PDF) como si fuera una instrucción legítima, sin distinguir entre el contenido que debe evaluar y las órdenes que debería ignorar.
### ¿Qué pasa con los papers ya publicados que usaron esta técnica?
Depende de cada revista o conferencia: algunos casos derivaron en retractaciones o en la exclusión del autor de futuros envíos, mientras otros comités optaron por una revisión manual adicional sin retractar el trabajo.
## Referencias
- [Science News](https://www.sciencenews.org/article/ai-tools-science-peer-review-problems): reporte sobre las fallas de las herramientas de IA usadas para vetar papers científicos.- [arXiv](https://arxiv.org): repositorio de preprints donde se detectaron los primeros casos de texto oculto dirigido a revisores con IA.- [pypdf en GitHub](https://github.com/py-pdf/pypdf): biblioteca de Python usada para extraer texto de archivos PDF, útil para detectar contenido oculto.- [Poppler](https://poppler.freedesktop.org/): proyecto que provee `pdftotext` y `pdffonts`, herramientas de línea de comandos para inspeccionar PDFs.- [Wikipedia: Prompt injection](https://en.wikipedia.org/wiki/Prompt_injection): explicación general de la técnica de manipulación de sistemas basados en modelos de lenguaje.
📱 **¿Te gusta este contenido?** Únete a nuestro canal de Telegram [@programacion](https://t.me/programacion) donde publicamos a diario lo más relevante de tecnología, IA y desarrollo. Resúmenes rápidos, contenido fresco todos los días.
Top comments (0)