Grave vulnerabilidad en ChatGPT y una serie de asistentes de IA: usuarios estafados, se filtra información...

La empresa israelí de ciberseguridad Zenity ha revelado la primera vulnerabilidad "Zero Click" descubierta en el servicio ChatGPT de OpenAI.

Este tipo de ataque no requiere que los usuarios realicen ninguna acción como hacer clic en un enlace, abrir un archivo o participar en cualquier interacción intencional, pero aún así pueden obtener acceso a cuentas y filtrar datos confidenciales.

Mikhail Bergori, cofundador y director de tecnología de Zenity, demostró de primera mano cómo un hacker con solo la dirección de correo electrónico de un usuario podría tomar el control total de las conversaciones, incluido el contenido pasado y futuro, cambiar el propósito de la conversación e incluso manipular ChatGPT para que actúe de acuerdo con los deseos del hacker.

En su presentación, los investigadores demostraron que un ChatGPT comprometido podría convertirse en un "actor malicioso" que opera de forma encubierta contra los usuarios. Los hackers podrían hacer que ChatGPT sugiera a los usuarios descargar software infectado, ofrecer consejos comerciales engañosos o acceder a archivos almacenados en Google Drive si la cuenta del usuario está conectada. Todo esto ocurre sin el conocimiento del usuario.

La vulnerabilidad solo se solucionó por completo después de que Zenity notificó a OpenAI.

Además de ChatGPT, Zenity también ha demostrado ataques similares contra otras plataformas populares de asistentes de IA. En Copilot Studio de Microsoft, investigadores descubrieron cómo filtrar bases de datos completas de CRM.

Para Salesforce Einstein, los piratas informáticos pueden crear solicitudes de servicio falsas para redirigir todas las comunicaciones de los clientes a las direcciones de correo electrónico que controlan.

Google Gemini y Microsoft 365 Copilot también se convirtieron en "actores hostiles" que realizaban ataques de phishing y filtraban información confidencial a través de correos electrónicos y eventos del calendario.

En otro ejemplo, la herramienta de desarrollo de software Cursor, cuando se integraba con Jira MCP, también fue explotada para robar credenciales de desarrolladores a través de "tickets" falsos.

Zenity afirmó que algunas empresas, como OpenAI y Microsoft, publicaron parches rápidamente tras recibir la alerta. Sin embargo, otras se negaron a abordar el problema, argumentando que el comportamiento era una "característica de diseño" y no una vulnerabilidad de seguridad.

El gran desafío ahora, según Mikhail Bergori, es que los asistentes de IA no solo realizan tareas sencillas, sino que se están convirtiendo en "entidades digitales" que representan a los usuarios, capaces de abrir carpetas, enviar archivos y acceder a correos electrónicos. Advirtió que esto es como un paraíso para los hackers, con numerosos puntos de explotación.

Ben Kaliger, cofundador y director ejecutivo de Zenity, afirmó que las investigaciones de la compañía demuestran que los métodos de seguridad actuales ya no son adecuados para el funcionamiento de los asistentes de IA. Instó a las organizaciones a cambiar su enfoque e invertir en soluciones especializadas para controlar y supervisar las actividades de estos "agentes".