Un hackeo en un instante. ChatGPT, Claude y Gemini se quedaron en una sola línea de texto

Base44, una plataforma popular para la creación de aplicaciones mediante inteligencia artificial, resultó vulnerable debido a un error grave en la configuración del sistema de autenticación. El problema radicaba en que un atacante podía obtener acceso completo a aplicaciones privadas creadas por otros usuarios con solo conocer su identificador — «app_id». Esta información no es secreta y está disponible en la URL y en el archivo manifest.json de cualquier proyecto público.

Ingenieros de la empresa Wiz descubrieron que dos puntos finales críticos de la API en la plataforma — auth/register y auth/verify-otp — estaban abiertos sin ningún tipo de protección. Utilizando únicamente el valor de app_id, cualquiera podía registrar una cuenta, confirmarla mediante un código de un solo uso y luego acceder a aplicaciones que no le pertenecían.

De este modo, los mecanismos de verificación de identidad, incluido el inicio de sesión único (Single Sign-On), simplemente eran ignorados. El error era tan trivial que, según el investigador Gal Nagli, bastaba con registrarse en la aplicación deseada e iniciar sesión mediante SSO — y la plataforma abría el acceso a datos confidenciales.

Tras el reporte de la vulnerabilidad el 9 de julio de 2025, los propietarios de la plataforma cerraron la brecha rápidamente — en menos de un día. No se han identificado indicios visuales de que la vulnerabilidad haya sido explotada en ataques. Sin embargo, el incidente subraya que incluso tecnologías relativamente nuevas, como el llamado vibe coding, donde la IA genera código a partir de indicaciones en lenguaje natural, se convierten no solo en entornos convenientes de desarrollo, sino también en nuevas zonas de riesgo. Especialmente cuando se descuida la protección básica.

Los errores en entornos impulsados por IA son un tema cada vez más relevante. A raíz del incidente con Base44, los investigadores han prestado atención a una serie de ataques contra los principales modelos de IA generativa: desde Claude y Gemini hasta ChatGPT y Grok. Así, el equipo de Google descubrió recientemente en la versión CLI de Gemini una peligrosa combinación de vulnerabilidades: falta de validación del contexto, inyección de sugerencias maliciosas y una interfaz de usuario engañosa. Todo esto permitía la ejecución de código arbitrario sin el conocimiento del usuario al abrir un archivo sospechoso.

Anteriormente, mediante un correo enviado a Gmail, los investigadores lograron engañar a Claude Desktop — de modo que la IA modificara el mensaje por sí sola y, con ello, eliminara las restricciones. El modelo Grok 4 de xAI fue vulnerado usando dos técnicas — Echo Chamber y Crescendo, eludiendo filtros y accediendo a funciones prohibidas sin solicitudes maliciosas explícitas. Sorprendentemente, la protección se activaba en menos del 1% de los casos. Una evasión similar fue implementada para ChatGPT, donde mediante un “juego de adivinanzas” la IA reveló claves activas de Windows. Meta tampoco escapó: el firewall del modelo LLaMA podía ser evadido mediante trucos léxicos — uso de otros idiomas, leetspeak o caracteres invisibles.

Más allá de la alteración del comportamiento de los modelos, las amenazas en la infraestructura cobran protagonismo. Investigadores de Snyk presentaron el método de flujo tóxico — TFA — que permite analizar una IA en busca de vulnerabilidades antes de que ocurra un ataque real. El enfoque se basa en modelar posibles cadenas de compromiso, incluidas manipulaciones de la lógica del agente, envenenamiento de herramientas y secuestro de protocolos de control del modelo (MCP).

Todo lo que está ocurriendo apunta a un patrón claro: cuanto más rápido avanza la tecnología de la IA generativa, más amplio se vuelve el campo de ataque — y más importante se vuelve diseñar la seguridad no como un añadido, sino como una parte integral de la arquitectura de estas plataformas.