La firma Tenable Research ha descubierto múltiples vulnerabilidades nuevas y persistentes en el ChatGPT de OpenAI quepodrían permitir a un atacante exfiltrar información.

Según el estudio, estas fallas incluyen inyecciones de prompt indirectas, exfiltración de información personal, evasión de filtros de seguridady la posibilidad de que un atacante modifique las “memorias”del usuario para extraer datos de manera persistente. En términos simples, basta con hacer una pregunta inocente para quedar expuesto a la manipulación del sistema si la IA accede a un sitio web comprometido o si se encuentra con instrucciones ocultas.

Para los usuarios comunes, el impacto no se limita a la privacidad digital: comprometer la seguridad de una cuenta puede derivar en robo de credenciales bancarias, suplantación de identidad, fraudes electrónicos y pérdidas económicas. Cientos de millones de personas utilizan diariamente modelos de lenguaje como ChatGPT para realizar búsquedas, revisar documentos o planificar gastos.Si en esas conversaciones se incluyen datos financieros, el riesgo se multiplica.

Tenable explica que la “inyección de prompt” —la técnica más peligrosa— permite alterar las instrucciones que sigue el modelo al procesar información, logrando que ejecute acciones no deseadas.En el caso de las llamadas inyecciones indirectas, el ataque se produce desde fuentes externas, como blogs o comentarios en sitios aparentemente confiables.Una vulnerabilidad identificada en el mecanismo de seguridad url_safe permitiría incluso eludir los filtros que bloquean enlaces sospechosos, generando rutas encubiertas hacia sitios maliciosos.

Los investigadores Moshe Bernstein y Liv Matan demostraron que el ataque puede funcionar con solo pedirle a la IA que resuma una página, ya que el sistema secundario de navegación (SearchGPT) podría obedecer instrucciones ocultas. A través de esta ruta, un hacker puede insertar comandos que modifiquen el comportamiento del modelo principal (ChatGPT)o recopilen información sensible de la memoria del usuario.

En el ámbito de las finanzas personales, esto significa que cualquier dato introducido en una conversación, como los números de cuenta, contraseñas, documentos de identidad o reportes financieros, pueden ser interceptado si se ejecuta una vulnerabilidad activa.Expertos en seguridad recomiendan mantener una política estricta de “mínima exposición digital”, evitando compartir información que no se divulgaría públicamente.

Además, los usuarios deben verificar los enlaces sugeridos por las IA, evitar ingresar datos personales en conversaciones con modelos conectados a internet y activar la autenticación dedos factores en cuentas bancarias, billeteras digitales y correos electrónicos.También es recomendable revisar y eliminar memorias en las plataformas que las utilicen, ya que podrían conservar datos privados sin que el usuario sea consciente.

La investigación de Tenable subraya que,aunque OpenAI ha corregido algunas fallas tras ser notificadas, varias vulnerabilidades siguen activas en GPT-5.La naturaleza misma de los modelos de lenguaje hace difícil eliminar completamente el riesgo de inyección de prompt, por lo que los proveedores de IA deberán reforzar sus filtros y protocolos de aislamiento para proteger la información de los usuarios.