Una vulnerabilidad crítica en ChatGPT que permitía la extracción silenciosa de datos confidenciales de los usuarios fue detectada por Check Point Research (CPR), el equipo global de inteligencia de amenazas de Check Point Software Technologies. El fallo fue reportado inmediatamente a OpenAI, que confirmó haberlo reconocido internamente y lanzó una solución definitiva el pasado 20 de febrero.
Este hallazgo ocurre en un momento en que millones de personas y empresas alrededor del mundo -incluyendo a Chile- emplean asistentes de inteligencia artificial para administrar información altamente sensible: historial médico, datos financieros, contratos legales, documentos de identidad y estrategias corporativas. Los usuarios tienen siempre la misma expectativa: lo que comparto con el asistente se queda ahí.
ChatGPT incluye un entorno aislado de ejecución de código en Python, creado para que los usuarios puedan analizar datos y resolver problemas complejos. OpenAI había declarado que ese entorno era incapaz de generar solicitudes de red salientes hacia internet. Los investigadores de Check Point encontraron que esa restricción era bypasseable usando tunelización DNS.
El DNS -el sistema que traduce nombres de dominio en direcciones IP- es una capa de infraestructura que pasa generalmente desapercibida. La vulnerabilidad aprovechaba que, si bien las conexiones directas a internet estaban bloqueadas, las resoluciones DNS seguían operando normalmente dentro del entorno de ejecución. Los atacantes podían codificar datos en los nombres de dominio que el sistema intentaba resolver y así llevarlos hacia un servidor externo bajo su control, sin activar ninguna alarma.
Como resultado, bastaba con que un usuario pegara un único prompt malicioso en una conversación de ChatGPT para que, desde entonces, cada mensaje nuevo fuera una potencial fuente de filtración. Los textos ingresados, el contenido de archivos subidos y hasta las conclusiones generadas por el modelo podían ser transmitidos silenciosamente a un tercero, mientras la interfaz no mostraba ningún aviso, diálogo de aprobación ni indicación de actividad externa.
ChatGPT permite crear asistentes personalizados llamados GPTs, que pueden ser publicados y utilizados por cualquier persona. Check Point Research demostró que un GPT malicioso podía explotar la misma vulnerabilidad sin que el usuario tuviera que hacer nada especial: solo abrir el GPT e interactuar con él.
Para graficar el impacto, el equipo elaboró un escenario de prueba con un GPT que simulaba ser un médico personal. Un usuario subió un PDF con resultados de exámenes de laboratorio, incluyendo su nombre y otros datos de identificación, y describió sus síntomas. El GPT respondió normalmente con una detallada evaluación médica. Al mismo tiempo, y sin que el usuario recibiera ninguna advertencia, el servidor del atacante recibió los datos del paciente y el diagnóstico generado por el modelo. Al consultarle directamente, ChatGPT negó haber enviado información a ningún sitio externo.
Más allá de la exfiltración de datos, los investigadores demostraron que el mismo canal encubierto podía utilizarse para establecer un shell remoto dentro del entorno Linux de ChatGPT, permitiendo ejecutar comandos externamente sin que estos aparecieran en la conversación ni fueran procesados por los filtros de seguridad del modelo.
El hallazgo de Check Point Research cobra especial relevancia en Chile, ya que es uno de los mercados de mayor adopción de herramientas de inteligencia artificial en América Latina, y el uso de asistentes como ChatGPT está ampliamente extendido en sectores como salud, finanzas, servicios legales y empresas tecnológicas. Las empresas que emplean estas plataformas para procesar información sensible pueden exponerse a amenazas que operan por debajo del radar de sus controles de seguridad tradicionales.
Cristian Vásquez, Major Account Manager de Check Point Chile, indica que “los sistemas de inteligencia artificial ya no son solo chatbots. Son entornos de ejecución real que leen archivos, corren código y procesan información crítica de negocios y personas. Proteger esos entornos exige el mismo nivel de rigor que aplicamos a cualquier sistema corporativo. Este caso demuestra que los vectores de ataque pueden estar en capas de infraestructura que nadie tiene en el radar, como el DNS”.
“Los usuarios están acostumbrados a copiar prompts de redes sociales o blogs para mejorar su productividad. Un atacante puede distribuir un prompt malicioso disfrazado de truco útil y tener acceso a datos de decenas o cientos de conversaciones. Es un vector de ataque masivo con un esfuerzo mínimo”, agrega Vásquez.
Para hacer frente a este tipo de amenazas emergentes, desde Check Point recomiendan:
• No pegar prompts de fuentes desconocidas en conversaciones que contengan información confidencial.
• Establecer políticas claras sobre qué tipo de datos pueden compartirse con herramientas de IA generativa.
• Tratar los GPTs de terceros con el mismo nivel de escrutinio que cualquier aplicación externa no verificada.
• Mantener una visibilidad activa sobre el tráfico de red generado desde entornos de IA, incluyendo resoluciones DNS inusuales.
Cabe señalar que la vulnerabilidad ya fue corregida por OpenAI y no afecta a las versiones actuales de ChatGPT.
