Basta con saber tu correo electrónico — y ChatGPT lo revela todo. Sí, así de real es

La idea de conectar grandes modelos de lenguaje a fuentes de datos externas está dejando de ser un experimento para convertirse en una práctica cotidiana. Hoy en día, ChatGPT no solo puede mantener una conversación, sino también interactuar con Gmail, GitHub, calendarios y almacenamientos en la nube, en teoría para facilitar la vida del usuario. Sin embargo, a medida que aumentan estas integraciones, también lo hacen las vulnerabilidades. Una investigación presentada en la conferencia Black Hat en Las Vegas demostró cómo un solo archivo malicioso puede convertirse en la clave para una fuga de datos personales.

Los autores del ataque señalaron una debilidad en el sistema de Connectors, una función añadida recientemente a ChatGPT. Este mecanismo permite vincular la cuenta del usuario con servicios como Google Drive, de modo que el chatbot pueda acceder a archivos y usarlos como contexto para sus respuestas. Pero se descubrió que esta función también puede ser usada para extraer información confidencial sin que el usuario haga clic o abra nada. Basta con enviar a su Google Drive vinculado un documento que contenga un prompt oculto y diseñado específicamente para ese fin.

En la demostración del ataque, llamado AgentFlayer, los investigadores escondieron la instrucción maliciosa en una falsa nota titulada “reunión con Sam Altman”, formateada en color blanco y con tamaño de fuente mínimo. Para una persona es casi invisible, pero el LLM puede leerla sin dificultad. Cuando el usuario pide a ChatGPT que “resuma la reunión”, el modelo, siguiendo las instrucciones ocultas, ignora el pedido original y busca claves API en Google Drive. Luego, las adjunta a una URL en formato Markdown, que simula un enlace a una imagen. En realidad, es un vínculo al servidor del atacante, al que se envían los datos.

Aunque este método no permite extraer documentos completos de forma directa, fragmentos críticos como claves, tokens o credenciales pueden ser filtrados sin que el usuario se entere. Y todo el esquema funciona sin clics: no requiere ninguna acción, confirmación ni siquiera abrir el archivo. Según Bargury, con solo conocer la dirección de correo electrónico, ya es posible infiltrarse en una infraestructura de confianza sin levantar sospechas.

Para evadir el mecanismo de protección url_safe, implementado previamente por OpenAI para bloquear enlaces maliciosos, los investigadores recurrieron a direcciones legítimas de Microsoft Azure Blob Storage. Así, la imagen realmente se carga y la solicitud con los datos termina en los registros del atacante. Esta táctica mostró lo fácil que es esquivar filtros básicos cuando se conoce la arquitectura interna del modelo.

Aunque los Connectors fueron concebidos como una herramienta útil —para integrar calendarios, hojas de cálculo y correos directamente en el diálogo con la IA— su implementación amplía lo que se conoce como superficie de ataque. Cuantas más fuentes se conectan al modelo, mayor es la probabilidad de que alguna contenga entradas no sanitizadas o no confiables. Y este tipo de ataques no solo puede robar datos, sino también servir como puerta de entrada a otros sistemas vulnerables dentro de una organización.

OpenAI ya recibió el reporte sobre el problema y aplicó medidas de protección para limitar el comportamiento de Connectors en estos escenarios. Sin embargo, el hecho de que el ataque haya funcionado subraya lo peligrosas que pueden ser las inyecciones indirectas de prompts —una técnica en la que los datos maliciosos se presentan al modelo como parte del contexto, y este actúa en beneficio del atacante.

Google, por su parte, respondió a la publicación afirmando que, independientemente del servicio concreto, el desarrollo de defensas contra inyecciones de prompt es uno de los pilares de su estrategia de ciberseguridad. Especialmente ahora que la integración de IA en la infraestructura corporativa es cada vez más profunda.

Y aunque las posibilidades que se abren al conectar LLM con fuentes en la nube son realmente enormes, también exigen replantear las estrategias de seguridad. Todo lo que antes dependía de controles de acceso y autenticación ahora puede ser vulnerado con una sola instrucción oculta en una línea de texto casi imperceptible.