07 Abr El riesgo invisible: ¿De verdad puedes confiar en que tu asistente de IA «privado» guarde tus secretos?

Posted at 11:28h in Noticias 2026, Últimas Noticias by

NOTICIAS TECNOLÓGICAS: Una investigación realizada por la empresa israelí de ciberseguridad Check Point descubrió una vulnerabilidad en el sistema de ChatGPT que podría permitir la extracción de datos sin activar ninguna alarma

Por Jacob Laznik


Icono de la aplicación ChatGPT en un teléfono inteligente en esta ilustración del 27 de octubre de 2025 (Foto: REUTERS/DADO RUVIC).

Imagínate esto: le pides ayuda a ChatGPT con algo que realmente no quieres que nadie más vea. Tal vez sea un informe de laboratorio con tu nombre. Tal vez sea una carta de renuncia que aún no has enviado. Tal vez sea un contrato, una hoja de cálculo financiera o un mensaje privado que estás intentando redactar con mucho cuidado.

Se suele asumir que la información se mantiene entre usted y su «asistente personal» hasta que usted autorice enviarla a otro lugar. Sin embargo, la investigación de la empresa israelí de ciberseguridad Check Point indica que esta suposición podría no haber sido siempre cierta.

La empresa descubrió una vulnerabilidad en el sistema de ChatGPT que podría permitir la extracción de datos sin activar ninguna alarma. Según Check Point Software Technologies, existe una pequeña brecha en el código que podría utilizarse para transferir datos sin activar las alertas habituales.

OpenAI anunció a finales de 2025 que prestaba servicio a más de 800 millones de usuarios semanales, y un estudio independiente de OpenAI reveló que, en julio de 2025, los usuarios ya enviaban alrededor de 18 mil millones de mensajes a la semana. La gente no solo lo usa por curiosidad o para bromear. Lo utilizan para revisar hojas de cálculo, resumir contratos, redactar correos electrónicos, escribir código, perfeccionar presentaciones y comprender lenguaje médico o financiero que, por sí solo, puede resultar abrumador.

No hablamos simplemente de un chatbot que se usa ocasionalmente por diversión. Se trata de un sistema que muchas personas utilizan como herramienta de apoyo en su trabajo, un compañero para la escritura, una herramienta para la investigación, y a veces incluso alguien con quien hablar sobre decisiones personales. Si existe una falla oculta en un sistema como este, no es solo un problema de tecnología. Es un problema de confianza.


El logotipo del proveedor de seguridad de redes Check Point Software Technologies Ltd se puede ver en los servidores de su sede central en Tel Aviv, Israel, el 14 de agosto de 2016 (Foto: REUTERS/BAZ RATNER).

Check Point afirmó que la vulnerabilidad residía en el entorno de ejecución que ChatGPT utiliza para el análisis de datos y las tareas basadas en Python. Este entorno funciona como un espacio de trabajo aislado dentro del producto, donde se procesan archivos y se ejecuta código sin acceso directo a internet. Según la investigación, el tráfico web saliente normal se bloqueó, pero una función en segundo plano permaneció disponible: la resolución del Sistema de Nombres de Dominio (DNS por sus siglas en inglés), el sistema que utilizan las computadoras para encontrar sitios web.

Esta pequeña función fue suficiente. Aprovechando una vulnerabilidad en el DNS, los atacantes pudieron crear una vía secreta para extraer información de un área segura.

Esto se conoce como «túnel DNS», pero no es tan complicado como parece. Básicamente, en lugar de enviar datos a través del tráfico normal de internet, el atacante oculta pequeños fragmentos dentro de lo que parece una solicitud normal para consultar un sitio web. Es como introducir un pequeño mensaje en un paquete aparentemente inofensivo. El atacante puede utilizar este túnel secreto para extraer información gradualmente del entorno sin ser detectado.

ChatGPT cuenta con métodos aprobados para conectarse con servicios externos. Por ejemplo, se supone que GPT Actions es visible y requiere la aprobación del usuario antes de enviar datos a otro lugar. Check Point afirmó que la vulnerabilidad que encontró eludía este modelo, ya que el asistente se comportaba como si el entorno de ejecución de código no pudiera enviar datos directamente. En otras palabras, el sistema no reconocía la actividad como una transferencia externa que debía bloquearse o mostrarse al usuario.

Cómo podría funcionar la posible fuga

Check Point indicó que el ataque podría comenzar con algo tan común como una sugerencia, la instrucción de texto que un usuario pega en ChatGPT.

Compartir sugerencias se ha convertido en una tendencia popular. La gente copia sugerencias de publicaciones de LinkedIn, cadenas de Reddit, boletines informativos, foros, grupos de Slack y listas de «mejores sugerencias» a diario. La mayoría de las veces, no se detienen a pensar de dónde proviene ese texto.

Esto proporcionó a los atacantes un camuflaje perfecto. Una solicitud maliciosa podía presentarse como un atajo para escribir, un truco de productividad o incluso un método para obtener un comportamiento premium. Y seamos sinceros, muchas solicitudes legítimas ya resultan extrañas. Son largas, excesivamente detalladas y están repletas de instrucciones engorrosas. Así que, si aparece otra solicitud extraña en tu fuente, probablemente no le prestarías atención.

Una vez que esa solicitud estuviera presente, Check Point afirmó que los mensajes posteriores en la conversación con ChatGPT podrían convertirse en una fuente de información filtrada. Esto podría incluir lo que escribiste, texto extraído de archivos subidos y, lo que es crucial, los resúmenes y conclusiones del propio modelo.

Si bien exponer tus archivos personales es un problema grave, el acceso a los resúmenes del modelo es aún más problemático. A un atacante puede no importarle un contrato completo de 30 páginas si el modelo puede resumirlo en las cuatro cláusulas realmente importantes. Puede que no quiera el informe médico completo si ChatGPT ya ha resumido el diagnóstico probable, las señales de alerta y los pasos a seguir. Puede que no necesiten la hoja de cálculo trimestral completa si el sistema genera un párrafo conciso que explique el riesgo financiero.

En ese sentido, la investigación describe algo más grave que el simple robo de documentos. Describe el posible robo de la información más útil contenida en el documento.

Si un sistema de IA confiable lee información confidencial, la transforma en algo conciso y valioso, y envía ese resultado discretamente a otro lugar, el daño puede ser peor que si el archivo original se filtrara por sí solo.

¿Cómo afecta esto a los usuarios cotidianos?

El informe de Check Point se publica en un momento en que las personas utilizan herramientas de IA para mucho más que preguntas casuales. La propia investigación de OpenAI indica que alrededor del 30% del uso de ChatGPT por parte de los consumidores está relacionado con el trabajo, mientras que la mayoría de las conversaciones, en general, se centran en orientación práctica, información y redacción. Esto significa que millones de usuarios están proporcionando a estos sistemas material comercialmente sensible, información personal o simplemente privada.

Las aplicaciones en el mundo real son infinitas. Un abogado sube un borrador de contrato. El fundador de una startup pega un memorándum para recaudar fondos. Un gerente pide ayuda para reescribir una evaluación de desempeño. Un padre necesita ayuda para comprender un análisis de sangre de su hijo. Un estudiante envía un ensayo para una beca que incluye datos personales. Un solicitante de empleo pide a ChatGPT que mejore una carta de presentación que menciona a su empleador actual. Ninguna de estas personas se considera un riesgo de ciberseguridad. Simplemente piensan que están recibiendo ayuda.

Por eso, este tipo de vulnerabilidad es tan inquietante. ¿Podrían la mayoría de los usuarios detectar un ataque de este tipo mientras se produce? Probablemente no. Si las respuestas siguen siendo impecables, la conversación sigue pareciendo normal y no aparece ninguna advertencia en pantalla, entonces hay muy pocos motivos para pensar que algo anda mal.

Los GPT personalizados aumentan aún más el riesgo de ataques no detectados

Check Point afirmó que el riesgo se agrava cuando el mismo comportamiento se integra en un GPT personalizado. En ese caso, el atacante no necesitaría persuadir a nadie para que pegara un mensaje sospechoso en un chat normal. El comportamiento malicioso podría estar incorporado en las instrucciones o archivos de un GPT especializado, mientras que el usuario creería que simplemente está abriendo una herramienta diseñada para un propósito específico.

Los GPT personalizados suelen ser bots pre-configurados que se comercializan destacando su comodidad y experiencia: redacción legal, planes de marketing, preparación de entrevistas, presupuestos, atención al cliente, ayuda para el estudio y orientación sobre salud. La especialización los hace parecer más seguros, no más riesgosos. Si algo parece un asistente diseñado para un propósito específico, es más probable que los usuarios confíen en él. Los GPT personalizados también están programados específicamente para producir ciertos resultados con los que los usuarios con consultas similares estarán satisfechos, por lo que para muchas de estas solicitudes, resulta muy atractivo buscar un GPT específico en lugar de consultar a un chatbot genérico.

Para ilustrar este punto, Check Point simuló una prueba de concepto con un GPT que actuaba como «médico personal». En la demostración, un usuario subió resultados de laboratorio con información de identificación y solicitó al sistema que interpretara los síntomas y los hallazgos médicos. Desde la perspectiva del usuario, todo parecía normal. El GPT respondió como se esperaba, e incluso el asistente afirmó, tras ser consultado, que los datos subidos no se habían enviado a ningún lugar.

Sin embargo, Check Point indicó que, en segundo plano, el servidor del atacante recibió tanto la identidad del paciente del archivo como la evaluación médica del modelo. No apareció ninguna solicitud de aprobación. Ninguna señal visible informó al usuario de que se había enviado algún dato fuera de la sesión.

De filtraciones silenciosas a acceso remoto

Check Point afirmó que el mismo canal encubierto también podría usarse para algo más agresivo que el robo de datos. Una vez que existiera una comunicación bidireccional entre el entorno de ejecución y un servidor controlado por el atacante, los investigadores indicaron que podría usarse para enviar comandos al contenedor Linux utilizado para la ejecución del código y recibir los resultados a través de la misma ruta. En efecto, según la compañía, esto equivaldría a un acceso remoto a la consola dentro del entorno de ejecución.

En resumen, esto significaría que el atacante no solo extraería información. Potencialmente, podría operar dentro del entorno donde ChatGPT realizaba tareas de análisis. Y dado que esos comandos no tendrían que aparecer en la conversación visible, la actividad podría tener lugar fuera del flujo normal del chat y más allá de las medidas de seguridad habituales del asistente.

Check Point declaró que reveló el problema a OpenAI, que confirmó haber identificado internamente el problema subyacente y haber implementado una solución completa el 20 de febrero de 2026. Esto reduce el riesgo inmediato, pero no elimina la lección más amplia, ni indica cuántos ciber delincuentes descubrieron esta vulnerabilidad antes de que se resolviera.

Los asistentes de IA ya no son simples ventanas de chat. Se están convirtiendo en entornos de trabajo, lugares donde subimos archivos, ejecutamos código, analizamos registros y generamos conclusiones valiosas a partir de información confidencial.

El estudio de Check Point utilizó únicamente ChatGPT; sin embargo, argumenta que los hallazgos no justifican estudios de caso separados para Claude o Gemini, sino que exigen un enfoque más práctico y supervisado de la seguridad de la IA en general.

Mientras tanto, a medida que esta evolución continúa, la cuestión de la seguridad también cambia. Ya no se trata solo de si el modelo proporciona una respuesta útil, sino de si se puede confiar en la infraestructura invisible que sustenta esa respuesta.

Por ahora, no es necesario dejar de usar la IA por completo, pero conviene pensarlo dos veces y reconsiderar que «tu asistente personal» podría estar comunicándose con otra persona.

Cuando confías información privada a un sistema de IA, asumes que las medidas de seguridad que lo rodean son sólidas. La realidad es que esas medidas pueden depender de capas técnicas que la mayoría de nosotros nunca veremos y que probablemente no cuestionaremos hasta que algo falle.

 

Traducción: Consulado General H. de Israel en Guayaquil
Fuente: The Jerusalem Post

Print page


advanced-floating-content-close-btnEste sitio web únicamente utiliza cookies propias con finalidad técnica, no recaba ni cede datos de carácter personal de los usuarios sin su conocimiento. Sin embargo, contiene enlaces a sitios web de terceros con políticas de privacidad ajenas a las de Consulado General Honorario de Israel que usted podrá decidir si acepta o no cuando acceda a ellos.