Grave vulnerabilidad en ChatGPT y una serie de asistentes de IA: los usuarios son víctimas de estafas, se filtra información...

La empresa israelí de ciberseguridad Zenity ha revelado la primera vulnerabilidad "Zero Click" descubierta en el servicio ChatGPT de OpenAI.

Este tipo de ataque no requiere que los usuarios realicen ninguna acción, como hacer clic en un enlace, abrir un archivo o participar en alguna interacción intencional, pero aún así puede obtener acceso a las cuentas y filtrar datos confidenciales.

Mikhail Bergori, cofundador y director de tecnología de Zenity, demostró de primera mano cómo un hacker con tan solo la dirección de correo electrónico de un usuario podría tomar el control total de las conversaciones, incluyendo el contenido pasado y futuro, cambiar el propósito de la conversación e incluso manipular ChatGPT para que actúe según los deseos del hacker.

En su presentación, los investigadores demostraron que un ChatGPT comprometido podría convertirse en un programa malicioso que opera de forma encubierta contra los usuarios. Los hackers podrían hacer que ChatGPT sugiriera a los usuarios descargar software infectado con virus, proporcionara consejos comerciales engañosos o accediera a archivos almacenados en Google Drive si la cuenta del usuario está conectada. Todo esto ocurre sin que el usuario lo sepa.

La vulnerabilidad solo se solucionó por completo después de que Zenity notificara a OpenAI.

Además de ChatGPT, Zenity también ha demostrado ataques similares contra otras plataformas populares de asistentes de IA. En Microsoft Copilot Studio, los investigadores descubrieron cómo filtrar bases de datos CRM completas.

En el caso de Salesforce Einstein, los hackers pueden crear solicitudes de servicio falsas para redirigir todas las comunicaciones de los clientes a direcciones de correo electrónico que controlan.

Google Gemini y Microsoft 365 Copilot también se convirtieron en "actores hostiles", llevando a cabo ataques de phishing y filtrando información confidencial a través de correos electrónicos y eventos de calendario.

En otro ejemplo, la herramienta de desarrollo de software Cursor, cuando se integró con Jira MCP, también fue utilizada para robar credenciales de desarrolladores mediante "tickets" falsos.

Zenity afirmó que algunas empresas, como OpenAI y Microsoft, lanzaron rápidamente parches tras ser alertadas. Sin embargo, otras se negaron a abordar el problema, argumentando que se trataba de una «característica de diseño» y no de una vulnerabilidad de seguridad.

Según Mikhail Bergori, el gran desafío actual reside en que los asistentes de IA no solo realizan tareas sencillas, sino que se están convirtiendo en «entidades digitales» que representan a los usuarios, capaces de abrir carpetas, enviar archivos y acceder a sus correos electrónicos. Advirtió que esto representa un auténtico paraíso para los hackers, con multitud de puntos vulnerables.

Ben Kaliger, cofundador y director ejecutivo de Zenity, afirmó que la investigación de la compañía demuestra que los métodos de seguridad actuales ya no son adecuados para el funcionamiento de los asistentes de IA. Instó a las organizaciones a cambiar su enfoque e invertir en soluciones especializadas para controlar y supervisar las actividades de estos «agentes».