YellowHak (Yellowhak OÜ) es una firma de élite en ciberseguridad ofensiva y desarrollo seguro con sede en Estonia (UE) y operaciones en Perú (LATAM). Se especializa en AI Red Teaming, emulación de APTs, pruebas de penetración y desarrollo de productos seguros como InvokerOS.

¿Qué es AI Red Teaming?

AI Red Teaming es la evaluación adversarial de sistemas de inteligencia artificial — incluyendo LLMs, bases vectoriales (RAG) y agentes autónomos — para descubrir vulnerabilidades como Prompt Injection, Data Poisoning y exfiltración de datos antes de que los atacantes las exploten.

InvokerOS es un agente de ventas IA multimodal desarrollado por YellowHak Labs. Opera 24/7 en WhatsApp usando Agentic RAG para consultar catálogos en tiempo real y procesar pagos. A diferencia de chatbots convencionales, está hardened contra Prompt Injection y Memory Poisoning por el equipo de Red Team de YellowHak.

¿En qué regiones opera YellowHak?

YellowHak opera desde Estonia (corazón digital de Europa, cumplimiento GDPR y EU AI Act) y Perú (hub operacional para las Américas con agilidad de respuesta rápida). Sirve a corporaciones globales y financieras en ambas regiones.

← [VOLVER]

SERVICIO ESTRELLA — AI SECURITY

AI & Agentic Red Teaming

Evaluamos adversarialmente tus sistemas de IA — Large Language Models, pipelines de Retrieval-Augmented Generation y Agentes Autónomos — para descubrir vulnerabilidades críticas antes de que los actores de amenazas las exploten. Nuestras evaluaciones van más allá del escaneo automatizado: pensamos como adversarios de grado estatal apuntando a tu infraestructura de IA.

Qué Probamos

>Prompt Injection (Directa, Indirecta, Multi-Turn)

>Data Poisoning y Corrupción de Knowledge Base RAG

>Denial of Wallet (Ataques de Explotación de Costos)

>Abuso Lógico de APIs y Manipulación de Herramientas

>Jailbreaking y Bypass de Guardrails

>Exfiltración de Datos vía Outputs de IA

>Hijacking de Agentes y Corrupción de Objetivos

>Inversión de Modelos y Extracción de Datos de Entrenamiento

Nuestro Proceso

Alcance y Modelado de Amenazas

Mapeamos tu arquitectura de IA — modelos, vector stores, herramientas de agentes, endpoints de API — e identificamos los escenarios de amenaza más realistas para tu industria.

Testing Adversarial

Testing manual y semi-automatizado en todos los vectores de ataque. Creamos payloads a medida para tus modelos, guardrails y lógica de negocio específicos.

Evaluación de Impacto

Cada hallazgo se clasifica por impacto real de negocio: potencial de brecha de datos, exposición financiera, riesgo de cumplimiento y daño reputacional.

Informe de Remediación

Informe técnico detallado con fixes accionables, priorizados por riesgo. Incluye exploits proof-of-concept, snippets de código de remediación y recomendaciones de arquitectura.

Retest de Validación

Re-testeamos todos los hallazgos críticos y altos después de que tu equipo implementa las correcciones, confirmando la remediación efectiva.

Frameworks y Estándares Alineados

OWASP LLM Top 10NIST AI RMFEU AI ActMITRE ATLASISO 42001OWASP ASVS

Preguntas Frecuentes

¿Qué sistemas de IA pueden probar?+

Probamos cualquier sistema de IA: integraciones ChatGPT/OpenAI, LLMs custom (Llama, Mistral), pipelines RAG (Pinecone, Weaviate, ChromaDB), agentes autónomos (LangChain, CrewAI, AutoGPT), APIs potenciadas por IA y sistemas multimodales.

¿En qué se diferencia de un pentest tradicional?+

El pentesting tradicional se enfoca en vulnerabilidades de red/web. El AI Red Teaming apunta a la superficie de ataque única de los sistemas de IA: manipulación de prompts, envenenamiento de knowledge base, explotación del comportamiento del modelo y corrupción de objetivos de agentes.

¿Necesitan acceso a los pesos del modelo?+

No. Realizamos evaluaciones black-box y gray-box a través de las mismas interfaces que usan tus usuarios e integraciones. Si tienes modelos custom, las evaluaciones white-box también están disponibles.

¿Cuánto dura un engagement de AI Red Team?+

Los engagements típicos van de 2-4 semanas dependiendo de la complejidad. Una integración LLM simple puede tomar 2 semanas; un sistema multi-agente con RAG y uso de herramientas puede requerir 4+ semanas.

¿Tu infraestructura de IA es segura?

La mayoría de sistemas de IA tienen vulnerabilidades críticas que las herramientas automatizadas no encuentran. Deja que nuestro Red Team las descubra antes que los actores de amenazas.