Vulnerabilidad en ChatGPT permite ataques de phishing a través de resúmenes web

Investigadores de ciberseguridad han descubierto una vulnerabilidad en ChatGPT, el asistente de inteligencia artificial de OpenAI, que podría permitir a los atacantes llevar a cabo ataques de phishing (intentos de engañar a los usuarios para que compartan información sensible) a través de los resúmenes que genera. Esta técnica, denominada ChatGPhish, se basa en la confianza implícita del sistema en enlaces y imágenes en formato Markdown.

Cómo funciona el ataque

La vulnerabilidad se origina en cómo ChatGPT procesa los enlaces y las imágenes de las páginas web que resume. Cuando un usuario solicita un resumen de una página, el asistente automáticamente descarga imágenes y convierte enlaces en elementos clicables, lo que puede ser explotado por un atacante. Así es como ocurre el ataque:

• Un atacante puede modificar una página web para incluir un pequeño código malicioso.
• Cuando la víctima pide un resumen de esa página, ChatGPT descarga automáticamente los elementos maliciosos.
• Esto puede revelar información sensible como la dirección IP y el tipo de navegador de la víctima.

A quién afecta

Este problema afecta a cualquier usuario que utilice ChatGPT para resumir contenido de páginas web, especialmente en entornos laborales donde el asistente es utilizado para la investigación. La capacidad de resumir páginas web cotidianas expone a las empresas a riesgos de seguridad, ya que un solo clic en un enlace malicioso podría comprometer datos sensibles.

Qué significa esto para ti

La existencia de esta vulnerabilidad subraya la importancia de tener precaución al utilizar herramientas de inteligencia artificial. Los usuarios deben ser conscientes de que simplemente pedir un resumen de una página puede introducir riesgos en su seguridad. Para las empresas, es crucial implementar medidas de seguridad adicionales y educar a los empleados sobre los peligros del phishing y otros ataques cibernéticos.