Underc0de - La Casa de los Informáticos

El panorama de la ciberseguridad continúa evolucionando con el descubrimiento de nuevas amenazas que ponen en riesgo tanto a usuarios individuales como a organizaciones. Investigadores de Radware han revelado una grave falla de seguridad en ChatGPT Deep Research, el agente de investigación profunda de OpenAI, que podría permitir a un atacante robar información confidencial de Gmail con un solo correo electrónico malicioso.

La vulnerabilidad, bautizada como ShadowLeak, es un ataque de tipo clic cero, lo que significa que el usuario no necesita realizar ninguna acción para que se ejecute. Basta con recibir un correo diseñado con técnicas avanzadas de inyección indirecta para que el agente de IA procese comandos ocultos y los ejecute en segundo plano.

¿Qué es ShadowLeak y cómo funciona?

Según los investigadores Zvika Babo, Gabi Nakibly y Maor Uziel, la técnica de ShadowLeak consiste en insertar instrucciones ocultas en el HTML del correo electrónico. Estas órdenes pueden estar disfrazadas mediante texto blanco sobre blanco, fuentes diminutas o trucos de diseño CSS, de modo que el usuario no las perciba.

Cuando la víctima utiliza ChatGPT Deep Research para analizar su bandeja de entrada de Gmail, el agente procesa también el contenido malicioso e instruye al sistema para recopilar datos personales y transmitirlos al atacante.

La información robada se codifica en Base64 y se envía a un servidor externo a través de la herramienta browser.open(). De este modo, los atacantes logran una exfiltración invisible para las defensas locales y corporativas, ya que ocurre directamente en la infraestructura de la nube de OpenAI.

La diferencia con ataques previos

Antes de ShadowLeak, otras vulnerabilidades como AgentFlayer o EchoLeak se habían basado en el lado del cliente, utilizando imágenes o representaciones locales para activar el robo de datos.

Sin embargo, ShadowLeak es mucho más peligroso porque no depende de la máquina de la víctima, sino que aprovecha la nube de OpenAI para ejecutar la fuga de información. Esto significa que los sistemas de seguridad tradicionales —firewalls, antivirus o EDR— no tienen visibilidad sobre lo que ocurre, lo que dificulta enormemente la detección.

Un ataque con múltiples vectores

Si bien la prueba de concepto se centró en Gmail, Radware advirtió que el ataque puede extenderse a otros conectores compatibles con ChatGPT Deep Research, ampliando así la superficie de ataque. Entre los servicios vulnerables se encuentran:

• Box
• Dropbox
• GitHub
• Google Drive
• HubSpot
• Microsoft Outlook
• Notion
• SharePoint

En resumen, cualquier servicio integrado en el ecosistema de ChatGPT podría ser utilizado como canal de exfiltración.

OpenAI responde a la amenaza

Radware informó la vulnerabilidad el 18 de junio de 2025 bajo un proceso de divulgación responsable. OpenAI corrigió la falla a principios de agosto, aplicando mejoras de seguridad para reducir el riesgo de inyección indirecta en agentes de IA.

Este incidente evidencia que, a medida que los agentes autónomos de inteligencia artificial se vuelven más potentes y versátiles, también crece el interés de los atacantes en explotarlos como vectores de ataque.

ChatGPT persuadido para resolver CAPTCHA

El descubrimiento de ShadowLeak coincidió con otra demostración preocupante. La plataforma de seguridad de IA SPLX mostró que es posible convencer a ChatGPT de resolver CAPTCHA —desafíos diseñados para diferenciar humanos de bots— mediante un envenenamiento de contexto.

El investigador Dorian Schultz explicó que el truco consistía en plantear los CAPTCHA como falsos en una conversación previa con ChatGPT-4o y luego transferir ese contexto a un agente. De esta manera, el modelo heredaba la "decisión" y procedía a resolver incluso CAPTCHA basados en imágenes, imitando movimientos humanos del cursor.

Este hallazgo evidencia que la integridad del contexto y la higiene de la memoria son aspectos críticos para garantizar la seguridad de los agentes de IA.

Implicaciones de ShadowLeak y amenazas similares

El caso de ShadowLeak subraya varios puntos clave para la ciberseguridad moderna:

• Los agentes de IA amplían la superficie de ataque. Al integrarse con múltiples plataformas (correo, almacenamiento, CRM), se convierten en un objetivo atractivo para los atacantes.
• La seguridad tradicional no es suficiente. Al producirse la exfiltración dentro de la nube de OpenAI, los controles locales no pueden detectar la actividad maliciosa.
• El envenenamiento de contexto es real. Tanto en ShadowLeak como en el caso de los CAPTCHA, los atacantes explotan la confianza del modelo en entradas previas.
• La protección requiere medidas proactivas. Las organizaciones deben implementar equipo rojo continuo, auditorías de seguridad en agentes y políticas de uso seguro de IA.

Cómo protegerse frente a ataques como ShadowLeak

Los expertos recomiendan adoptar las siguientes prácticas:

• Revisar las integraciones habilitadas en ChatGPT Deep Research y desactivar las que no sean esenciales.
• Capacitar a los usuarios sobre los riesgos de la inyección de avisos indirectos y los peligros de procesar correos maliciosos.
• Implementar monitoreo avanzado en la actividad de agentes de IA, especialmente cuando interactúan con datos sensibles.
• Aplicar principios de "cero confianza" en entornos de IA, limitando permisos y accesos a lo mínimo necesario.
• Mantenerse informado sobre nuevas vulnerabilidades y actualizaciones de seguridad de proveedores como OpenAI.

En fin...

La vulnerabilidad ShadowLeak demuestra que los agentes de IA como ChatGPT Deep Research no solo ofrecen beneficios en productividad, sino que también representan un nuevo frente de riesgo cibernético. Al explotar técnicas invisibles de inyección indirecta, los atacantes pueden robar datos sensibles sin que el usuario realice ninguna acción.

Aunque OpenAI ya corrigió la falla, el descubrimiento alerta sobre la necesidad de reforzar la seguridad en entornos de IA, aplicar prácticas de contexto seguro y anticiparse a posibles abusos. Con el rápido crecimiento de herramientas como Google Gemini, Perplexity y otros asistentes autónomos, la ciberseguridad deberá evolucionar al mismo ritmo para proteger a usuarios y empresas en este nuevo escenario digital.

Fuente: https://thehackernews.com/