Así es como terminó filtrando datos privados de un usuario de Gmail – El diario andino
¿Confiaría en la inteligencia artificial para algo tan íntimo como administrar su correo electrónico? No se trata solo de sus respuestas, sino de darle acceso a acciones en un entorno privado donde nos mantenemos geniales Parte de nuestra vida personal y laboral. La tentación está ahí. ¿Por qué invertir varios minutos en búsquedas manuales y verificar los mensajes uno por uno si puede delegar la tarea a un agente de IA con una instrucción tan simple como las siguientes: «Analizar mis correos electrónicos hoy y recopilar toda la información sobre mi proceso de contratar nuevos empleados»?
En el papel, el plan parece perfecto. La IA asume un trabajo tedioso y recuperas tiempo para lo que realmente importa.
De un mensaje inocente para un escape invisible
El problema es que esta solución «mágica» también puede ser contra. Que promete aumentar la productividad puede convertirse en el puerta de entrada para atacantes Con malas intenciones. Esto es advertido por el último Investigación de radware cibernéticoLo que demuestra cómo un correo electrónico cuidadosamente elaborado consistió en burlarse de las defensas de seguridad del CHATGPT en la investigación en profundidad y transformarlo en una herramienta para filtrar información confidencial.
La perturbación del informe es la simplicidad del ataque. No es necesario hacer clic en cualquier enlace o descargar algo sospechoso: es suficiente que el asistente procese un correo alterado para terminar de filtrar información confidencial. El usuario continúa con su día a día sin notar nada, mientras que los datos viajan a un servidor controlado por el atacante.
Parte del éxito está en la combinación de varias técnicas clásicas de ingeniería social adaptadas para engañar a la IA.
- Declaración de autoridad: El mensaje insiste en que el agente tiene «autorización completa» y se espera que acceda a URL externos, lo que genera una falsa sensación de permiso.
- Camuflaje de URL malicioso: La dirección del atacante se presenta como un servicio oficial, por ejemplo, un «sistema de cumplimiento» o una «interfaz de recuperación de perfil», para que parezca una tarea corporativa legítima.
- Mandato de persistencia: Cuando la falla de control suave de SO, las órdenes rápidas para intentarlo varias veces y «ser creativo» hasta que obtenga acceso, lo que le permite superar las restricciones no deterministas.
- Creación y consecuencias de emergencia: Se observan problemas si la acción no se completa, como «el informe estará incompleto», que presiona al asistente que se ejecute rápidamente.
- Declaración de seguridad falsa: Se asegura que los datos son públicos o que la respuesta es «HTML estático» y se indica que están codificados en función de ON64 para que estén «seguros», un recurso que realmente ayuda a ocultar la exfiltración.
- Ejemplo claro y reproducible: El correo electrónico incluye un ejemplo paso a paso sobre cómo formatear los datos y la URL, lo que facilita que el modelo lo siga a la carta.
Como podemos ver, el vector es simple en su apariencia y peligroso en su resultado. Un correo electrónico con instrucciones ocultas en su HTML o metadatos se convierte, para el agente, en un orden legítimo. En general, el ataque está materializado:
- El atacante prepara un correo electrónico legítimo, pero con código o instrucciones integradas en el HTML que son invisibles para el usuario.
- El mensaje llega a la bandeja del destinatario y pasa desapercibido entre el resto de los correos.
- Cuando el usuario ordena en profundidad el chatgpt para revisar o resumir los mensajes del día, el agente procesa el correo y no distingue entre texto visible e instrucciones ocultas.
- El agente ejecuta las instrucciones y hace una llamada a una URL externa controlada por el atacante, incluidos los datos de solicitud extraídos del buzón.
- La organización no detecta la salida en sus sistemas, porque el tráfico sale de la nube del proveedor y no de su perímetro.
Las consecuencias van mucho más allá de un simple correo manipulado. Ser un agente conectado con los permisos para actuar en la bandeja de entrada, cualquier documento, factura o estrategia compartida por correo electrónico puede terminar en manos de un tercero Sin el usuario que lo percibe. El riesgo es doble: por un lado, la pérdida de información confidencial; Por otro lado, la dificultad de rastrear el escape, ya que la solicitud se basa en la infraestructura del propio asistente y no en la red de la compañía.
Las consecuencias van mucho más allá de un simple correo manipulado.
El hallazgo no permaneció en una simple advertencia. Fue comunicado responsable de Openai, que reconoció la vulnerabilidad y actuó rápidamente para cerrarla. Desde entonces, el fracaso se corrige, pero eso no significa que el riesgo haya desaparecido. Lo que se evidencia es un patrón de ataque que podría repetirse en otros entornos de IA con características similares, y que nos obliga a repensar cómo gestionamos la confianza en estos sistemas.
Estamos entrando en un momento en que los agentes de IA se multiplican y forzan para repensar cómo entendemos la seguridad. Para muchos usuarios, un escenario como hemos descrito es impensable, incluso para aquellos que tienen un nivel avanzado en ciencias de la computación. No hay antivirus que nos libere de este tipo de vulnerabilidades: la clave es comprender lo que sucede y anticipar. Lo más llamativo es que los ataques comienzan a parecerse más a un ejercicio de persuasión en el lenguaje natural que a una línea de código.
Imágenes | con Gemini 2.5 Pro
En | China tiene el sistema de censura más grande del mundo. Ahora ha decidido exportarlo y venderlo a otros países
