Una reciente investigación de seguridad puso bajo la lupa a ChatGPT, luego de que un investigador descubriera una vulnerabilidad que podía abrir acceso a componentes internos de la nube de OpenAI en Azure. Aunque el fallo ya fue corregido, el caso deja varias lecciones clave para empresas que dependen de IA generativa en sus operaciones.
El origen: Custom GPTs y validaciones insuficientes
Jacob Krut, ingeniero de seguridad y cazador de bugs en Open Security, estaba creando un “Custom GPT” cuando encontró el problema.
El punto débil se encontraba en la sección de Actions, donde estos modelos personalizados pueden interactuar con APIs externas mediante URLs proporcionadas por el usuario.
La validación de esas URLs era limitada… y en ciberseguridad, eso es casi una invitación.
Esto permitió realizar un ataque de Server-Side Request Forgery (SSRF), es decir, hacer que el sistema realice solicitudes hacia recursos internos que deberían estar fuera del alcance del usuario.
El riesgo real: acceso a Azure IMDS
Krut logró usar la vulnerabilidad para consultar un endpoint interno del Azure Instance Metadata Service (IMDS), un componente crítico que maneja información de identidad y configuración dentro de la nube.
¿El problema?
El IMDS puede emitir access tokens que permiten a servicios autenticarse dentro del entorno cloud.
Es decir: alguien explotando esta falla pudo haber obtenido un token válido para acceder a partes de la infraestructura de OpenAI alojada en Azure.
OpenAI reaccionó rápido, pero la alerta queda
La vulnerabilidad fue reportada mediante el programa de recompensas de OpenAI en BugCrowd.
Fue clasificada como “alta severidad” y parchada inmediatamente.
Hasta ahora, no está claro si se otorgó una recompensa significativa. Aunque OpenAI ofrece hasta $100,000 para fallos críticos, los pagos recientes no han sido tan altos: el máximo público ha sido de $5,000 y el promedio ronda los $800.
Expertos lo califican como un “ejemplo de libro de texto”
Christopher Jess, gerente senior de I+D en Black Duck, señaló que este hallazgo refleja perfectamente por qué las SSRF siguen siendo un dolor de cabeza:
Están en el OWASP Top 10 desde 2021.
Su radio de impacto es enorme: desde servicios internos hasta identidades privilegiadas en la nube.
Un pequeño error de validación en la capa de framework puede terminar exponiendo componentes críticos.
Lecciones para las empresas
Más allá de OpenAI, este incidente recuerda algo importante para cualquier organización que construya, implemente o consuma IA:
Validaciones estrictas en entradas controladas por el usuario
Segmentación y controles de red para evitar accesos laterales
Monitorización del consumo de endpoints sensibles como IMDS
Revisión continua de integraciones API, especialmente con servicios de terceros
Programas de bug bounty que fomenten la divulgación responsable
Conclusión
Aunque la vulnerabilidad fue controlada a tiempo, el incidente deja claro que incluso los proveedores de IA más avanzados pueden verse afectados por fallos “clásicos” si no se cuidan los detalles.
Para las empresas, este caso refuerza la importancia de aplicar una mentalidad de seguridad desde el diseño cuando se trabaja con IA generativa y arquitecturas cloud.
