Millones de usuarios instalan virus siguiendo las “recomendaciones” de ChatGPT

Especialistas de CloudSEK revelaron un nuevo vector de ataque llamado ClickFix, que se apoya en la inyección de indicaciones invisibles y en la técnica conocida como prompt overdose para manipular los sistemas de resumen automático basados en inteligencia artificial. El método consiste en ocultar instrucciones paso a paso dentro del contenido HTML utilizando ofuscación por medio de CSS, de modo que pasan inadvertidas para el ojo humano, pero resultan perfectamente legibles para los modelos de lenguaje. Cuando un documento, un correo electrónico o una página web con este tipo de inserciones llega a un sistema de resumen automático, el resultado que entrega la IA incluye ya las órdenes del atacante, que suelen simular indicaciones para instalar o ejecutar un ransomware.

En la práctica, los atacantes emplean trucos de estilo como texto en tamaño cero, caracteres invisibles, color blanco sobre fondo blanco, bloques colocados fuera del área visible o contenedores con opacity: 0. Estas técnicas permiten introducir instrucciones ocultas que el motor de IA sigue interpretando. Además, se repite el mismo bloque malicioso decenas de veces (prompt overdose), desplazando así el contenido legítimo de la ventana de contexto y garantizando que el resumen final reproduzca las órdenes del atacante.

No se trata solo de repetir texto: también se introduce una directiva oculta, invisible para el usuario, que ordena al sistema de resumen ignorar todo el resto del contenido y mostrar únicamente la sección marcada como “summaryReference”. Esta instrucción suele aparecer varias veces para reforzar su peso, logrando un doble efecto: saturar el contexto con la carga maliciosa y dirigir el comportamiento del modelo de manera explícita.

Para demostrarlo, los investigadores prepararon un documento HTML que incluía texto visible con apariencia de blog o artículo de investigación, junto a bloques invisibles que contenían comandos de PowerShell codificados en Base64, como por ejemplo:

powershell.exe -enc d2hvYW1p 

En la prueba de concepto ese comando era inocuo, pero en un escenario real podría sustituirse por instrucciones para lanzar un cifrador o descargar malware. El bloque malicioso se repetía tantas veces que se volvía dominante para el modelo.

Al analizar el documento, el sistema de resumen llegó a producir “recomendaciones” para ejecutar código directamente desde el cuadro de diálogo de Windows “Ejecutar”, convirtiéndose en un canal de entrega de órdenes. En la mayoría de los casos, el texto final consistía únicamente en pasos maliciosos, aunque en ocasiones aparecían fragmentos del contenido original, como una referencia a “señales neuromusculares y estudios de respuesta inmunitaria”, lo que demuestra que la directiva oculta influía de manera fuerte, aunque no absoluta.

Para comprobar la amplitud del fallo, se probaron tanto servicios comerciales como una extensión de navegador con función de resumen. El resultado fue idéntico: la herramienta integrada interpretaba los bloques invisibles y generaba instrucciones dañinas. Esto confirma que la vulnerabilidad no depende de un proveedor en particular y puede afectar a cualquier aplicación que procese HTML sin sanitización previa.

Lo que más preocupa es la escalabilidad. Un atacante puede difundir en masa páginas envenenadas mediante SEO, blogs, foros y redes sociales. En cuanto este material entra en buscadores, newsletters, vistas previas de correo o asistentes del navegador, los resúmenes de IA empiezan a propagar las órdenes maliciosas a través de múltiples canales como emails, notificaciones push o fragmentos automáticos. Un único post comprometido puede transformarse en un canal multivectorial de propagación.

El riesgo es aún mayor en entornos corporativos, donde asistentes internos, pasarelas de correo, CMS y sistemas de tickets cada vez más integran resúmenes automáticos para acelerar la gestión de documentos. Si alguno de estos mecanismos internos procesa contenido envenenado, las órdenes del atacante pueden colarse en informes, tickets o resúmenes de confianza, disfrazándose de recomendaciones legítimas y aumentando las posibilidades de que un empleado las ejecute.

Según el informe, la técnica podría comercializarse pronto. No se descarta la aparición de kits de explotación —Summarizer Exploitation Kits— similares al modelo RaaS, que automatizarían la creación y distribución de contenido contaminado.

Como medidas de protección, los expertos destacan la necesidad de limpiar el HTML antes de enviarlo al resumidor, eliminando elementos con propiedades sospechosas como font-size: 0 o opacity: 0; detectar instrucciones ocultas y casos de prompt overdose; reconocer patrones típicos de ClickFix, comandos en Base64 y ejecuciones de PowerShell; reducir el peso de bloques repetidos en el análisis de tokens; y alertar al usuario cuando una recomendación procede de partes invisibles del documento. A nivel corporativo, se recomienda implementar políticas de escaneo en gestores de contenidos, sistemas de correo y plataformas documentales para identificar estos intentos de manipulación.

Los autores advierten que grupos de ransomware podrían adaptar la técnica rápidamente, integrándola en cadenas de ataque ya existentes. La combinación de inyección de indicaciones invisibles y saturación del contexto convierte a los resumidores de IA en un potente canal de distribución de comandos, donde las instrucciones pasan inadvertidas para el usuario, pero son interpretadas y replicadas fielmente por la máquina.