Investigadores han descubierto una vulnerabilidad crítica, apodada “ShadowLeak”, en el agente Deep Research de ChatGPT. Se trata de un fallo de inyección de prompt indirecta sin clic (0-click), que permitía a los atacantes extraer información confidencial de la bandeja de entrada de un usuario sin que este tuviera que hacer clic en nada.
¿Cómo funcionaba el ataque?
El ataque operaba de la siguiente manera:
- Paso 1: Un cibercriminal enviaba un correo electrónico que parecía inofensivo al buzón empresarial de la víctima. El correo contenía instrucciones ocultas en su código HTML.
- Paso 2: Si el usuario, sin abrir el correo, le pedía a Deep Research que “resumiera los correos de hoy” o “investigara un tema basándose en sus mensajes”, el agente leía el correo malicioso.
- Paso 3: Las instrucciones ocultas en el correo hacían que el agente extrajera información sensible y la enviara automáticamente a una URL controlada por el atacante.
Esta fuga de datos se producía directamente desde los servidores de OpenAI, lo que significa que no se veían señales de tráfico sospechoso desde el dispositivo del usuario o la red corporativa.
Implicaciones
Este caso subraya un riesgo importante: los agentes de IA, al estar conectados a datos personales y empresariales, pueden convertirse en un nuevo vector de ataque. Las organizaciones que utilizan Deep Research con acceso a su correo corporativo podrían haber expuesto información personal y empresarial. Esto tiene serias implicaciones legales y de reputación, especialmente para las empresas sujetas a regulaciones de protección de datos como el GDPR o el CCPA.
Recomendaciones
- Revisar los permisos del agente: Limita el acceso de Deep Research a solo los datos estrictamente necesarios.
- Desactivar funciones automáticas: Desactiva el análisis de correos en entornos sensibles hasta que sea imprescindible.
- Monitorear la actividad: Revisa los registros de actividad para detectar exfiltraciones inusuales o accesos sospechosos.
- Capacitar al personal: Educa a los empleados sobre los riesgos de los contenidos maliciosos invisibles que pueden estar ocultos en los correos electrónicos.
