Tenable, Tenable, la empresa de gesti\u00f3n de la exposici\u00f3n, descubri\u00f3 siete vulnerabilidades y t\u00e9cnicas de ataque durante las pruebas de ChatGPT-4o de OpenAI, y varias de ellas se encontraron posteriormente persistentes en ChatGPT-5. Conocidas colectivamente como HackedGPT, estas fallas exponen a los usuarios a riesgos de privacidad al eludir los mecanismos de seguridad incorporados. Si se explotan, podr\u00edan permitir a los atacantes robar secretamente datos personales, incluidos chats y memorias almacenadas. Si bien OpenAI ha remediado algunos de los problemas identificados, otros no se hab\u00edan abordado en el momento de la publicaci\u00f3n, dejando abiertas ciertas v\u00edas de exposici\u00f3n.<\/p>\n\n\n\n
Dado que cientos de millones de personas utilizan ChatGPT a diario \u2014ya sea para negocios, investigaci\u00f3n o comunicaci\u00f3n personal\u2014 las implicaciones de estas fallas son significativas. Una reciente encuesta de consumidores digitales se\u00f1ala que en Am\u00e9rica Latina las tasas de adopci\u00f3n de herramientas de IA generativa como ChatGPT superan el promedio global, lo que refuerza la relevancia de analizar su seguridad en la regi\u00f3n.<\/p>\n\n\n\n
Las vulnerabilidades revelan una nueva clase de ataque de IA llamado inyecci\u00f3n indirecta de prompt, donde instrucciones ocultas en sitios web externos o comentarios pueden enga\u00f1ar al modelo para que realice acciones no autorizadas. Estas fallas afectan las funciones de navegaci\u00f3n web y memoria de ChatGPT, que procesan datos de internet en vivo y almacenan informaci\u00f3n del usuario, creando oportunidades para la manipulaci\u00f3n y la exposici\u00f3n de datos.<\/p>\n\n\n\n
Los investigadores de Tenable muestran que estos ataques pueden ocurrir silenciosamente de dos maneras: ataques de \u00ab0-clic,\u00bb donde simplemente hacer una pregunta a ChatGPT desencadena el compromiso, y ataques de \u00ab1-clic,\u00bb donde hacer clic en un enlace malicioso activa comandos ocultos. A\u00fan m\u00e1s preocupante es una t\u00e9cnica llamada Inyecci\u00f3n de Memoria Persistente (Persistent Memory Injection), donde las instrucciones da\u00f1inas se guardan en la memoria a largo plazo de ChatGPT y permanecen activas despu\u00e9s de que el usuario cierra la aplicaci\u00f3n. Esto permite a los atacantes plantar amenazas duraderas que pueden exponer informaci\u00f3n privada en futuras sesiones hasta que se eliminen. En conjunto, estas fallas muestran c\u00f3mo los atacantes podr\u00edan eludir las salvaguardas de OpenAI y acceder a los historiales privados de los usuarios.<\/p>\n\n\n\n
\u00abHackedGPT expone una debilidad fundamental en c\u00f3mo los modelos de lenguaje grande juzgan en qu\u00e9 informaci\u00f3n confiar,\u00bb dijo Moshe Bernstein, Ingeniero de Investigaci\u00f3n Senior en Tenable. \u00abIndividualmente, estas fallas parecen peque\u00f1as, pero juntas forman una cadena de ataque completa, desde la inyecci\u00f3n y la evasi\u00f3n hasta el robo de datos y la persistencia.<\/p>\n\n\n\n
Muestra que los sistemas de IA no son solo objetivos potenciales; pueden convertirse en herramientas de ataque que recolectan informaci\u00f3n silenciosamente de chats o navegaciones cotidianas\u00bb<\/p>\n\n\n\n
HackedGPT: Las Siete Vulnerabilidades y T\u00e9cnicas de Ataque Identificadas por Tenable research<\/p>\n\n\n\n
1. Inyecci\u00f3n indirecta de prompt a trav\u00e9s de sitios de confianza. Los atacantes ocultan comandos dentro de contenido en l\u00ednea de apariencia leg\u00edtima (como comentarios de blog o publicaciones p\u00fablicas). Cuando ChatGPT navega por ese contenido, sigue sin saberlo esas instrucciones ocultas, lo que significa que puede ser enga\u00f1ado para que haga lo que un atacante le dice con solo leer una p\u00e1gina comprometida<\/p>\n\n\n\n
2. Inyecci\u00f3n indirecta de prompt de 0-clic en el contexto de b\u00fasqueda. El usuario no tiene que hacer clic ni hacer nada especial para estar expuesto. Cuando ChatGPT busca respuestas en la web, puede encontrar una p\u00e1gina con c\u00f3digo malicioso oculto. Simplemente hacer una pregunta podr\u00eda hacer que el modelo siga esas instrucciones y filtre datos privados, lo que los investigadores llaman un compromiso de \u00abuna sola instrucci\u00f3n\u00bb (single-prompt compromise).<\/p>\n\n\n\n
3. Inyecci\u00f3n de prompt a trav\u00e9s de 1-cli. Un solo clic puede desencadenar un ataque. Comandos ocultos incrustados en enlaces aparentemente inofensivos pueden hacer que ChatGPT ejecute acciones maliciosas sin darse cuenta, permitiendo que un atacante tome el control del chat.<\/p>\n\n\n\n
4. Omisi\u00f3n del mecanismo de seguridad. ChatGPT normally validates links and blocks unsafe sites. Attackers bypass that by using trusted Los atacantes omiten la validaci\u00f3n de enlaces de ChatGPT (que normalmente bloquea sitios inseguros) utilizando URL de wrapper de confianza (por ejemplo, Bing: bing.com\/ck\/a?…) que ocultan el destino real. ChatGPT conf\u00eda en el wrapper, muestra el enlace aparentemente seguro y puede ser conducido a un sitio malicioso.<\/p>\n\n\n\n
5. Inyecci\u00f3n de conversaci\u00f3n. Los atacantes pueden usar SearchGPT (para navegaci\u00f3n) para insertar instrucciones ocultas que ChatGPT luego lee como parte de la conversaci\u00f3n. Esto significa que la IA termina \u00abinyect\u00e1ndose su propia instrucci\u00f3n\u00bb (prompt-injecting itself), siguiendo comandos que el usuario nunca escribi\u00f3.<\/p>\n\n\n\n
6. Ocultaci\u00f3n de contenido malicioso. Un error de formato permite a los atacantes ocultar instrucciones maliciosas dentro de c\u00f3digo o texto markdown. El usuario ve un mensaje limpio, pero ChatGPT a\u00fan lee y ejecuta el contenido oculto.<\/p>\n\n\n\n
7. Inyecci\u00f3n de memoria persistente. Los atacantes pueden plantar instrucciones maliciosas en la funci\u00f3n de memoria a largo plazo de ChatGPT. Esto hace que el modelo repita esos comandos en varias sesiones y filtre datos privados continuamente hasta que se borre la memoria.<\/p>\n\n\n\n
Posible Impacto de la Explotaci\u00f3n de HackedGPT<\/p>\n\n\n\n
Si se explotan, estas fallas podr\u00edan:<\/p>\n\n\n\n
\u25cf Insertar comandos ocultos en conversaciones o memorias a largo plazo.<\/p>\n\n\n\n
\u25cf Robar datos sensibles de historiales de chat o servicios conectados como Google Drive o Gmail.<\/p>\n\n\n\n
\u25cf Exfiltrar informaci\u00f3n a trav\u00e9s de la navegaci\u00f3n e integraciones web.<\/p>\n\n\n\n
\u25cf Manipular respuestas para difundir desinformaci\u00f3n o influir en los usuarios.<\/p>\n\n\n\n
Tenable Research llev\u00f3 a cabo su investigaci\u00f3n bajo pr\u00e1cticas de divulgaci\u00f3n responsable. OpenAI ha remediado algunas de las vulnerabilidades identificadas, pero varias siguen activas en ChatGPT-5 o no se hab\u00edan abordado en el momento de la publicaci\u00f3n, dejando abiertas ciertas v\u00edas de exposici\u00f3n.<\/p>\n\n\n\n
Tenable aconseja a los proveedores de IA que refuercen las defensas contra la inyecci\u00f3n de prompt verificando que los mecanismos de seguridad como url_safe funcionen seg\u00fan lo previsto y aislando las funciones de navegaci\u00f3n, b\u00fasqueda y memoria para evitar ataques de contexto cruzado.<\/p>\n\n\n\n
Recomendaciones para Equipos de Seguridad<\/p>\n\n\n\n
Tenable aconseja a los profesionales de seguridad:<\/p>\n\n\n\n
\u25cf Tratar las herramientas de IA como superficies de ataque en vivo, no como asistentes pasivos.<\/p>\n\n\n\n
\u25cf Auditar y monitorear las integraciones de IA en busca de manipulaci\u00f3n o fuga de datos.<\/p>\n\n\n\n
\u25cf Investigar solicitudes o salidas inusuales que puedan indicar inyecci\u00f3n de prompt.<\/p>\n\n\n\n
\u25cf Probar y reforzar las defensas contra la inyecci\u00f3n y las v\u00edas de exfiltraci\u00f3n.<\/p>\n\n\n\n
\u25cf Establecer controles de gobernanza y clasificaci\u00f3n de datos para el uso de la IA.<\/p>\n\n\n\n
\u00abEsta investigaci\u00f3n no se trata solo de exponer fallas, se trata de cambiar la forma en que aseguramos la IA,\u00bb agreg\u00f3 Bernstein. \u00abLas personas y las organizaciones por igual deben asumir que las herramientas de IA pueden ser manipuladas y dise\u00f1ar controles en consecuencia. Eso significa gobernanza, salvaguardas de datos y pruebas continuas para asegurar que estos sistemas funcionen para nosotros, no contra nosotros\u00bb.<\/p>\n","protected":false},"excerpt":{"rendered":"
Tenable, Tenable, la empresa de gesti\u00f3n de la exposici\u00f3n, descubri\u00f3 siete vulnerabilidades y t\u00e9cnicas de ataque durante las pruebas de ChatGPT-4o de OpenAI, y varias de ellas se encontraron posteriormente persistentes en ChatGPT-5. Conocidas colectivamente como HackedGPT, estas fallas exponen a los usuarios a riesgos de privacidad al eludir los mecanismos de seguridad incorporados. Si […]<\/p>\n","protected":false},"author":1,"featured_media":10567,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-10566","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologias"],"_links":{"self":[{"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/posts\/10566","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=10566"}],"version-history":[{"count":1,"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/posts\/10566\/revisions"}],"predecessor-version":[{"id":10568,"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/posts\/10566\/revisions\/10568"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=\/wp\/v2\/media\/10567"}],"wp:attachment":[{"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=10566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=10566"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.elcapital.pe\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=10566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}