- Check Point Research encuentra una falla en ChatGPT que permite la filtración silenciosa de datos mediante abuso de DNS e inyección rápida
- La vulnerabilidad permite a los atacantes eludir la barrera y robar datos confidenciales del usuario mediante una consulta de dominio secreta.
- OpenAI solucionó el problema el 20 de febrero de 2026, lo que marcó la segunda solución importante esa semana después del error de inyección del comando Codex.
OpenAI abordó una vulnerabilidad en ChatGPT que permitía a los actores de amenazas exfiltrar silenciosamente datos confidenciales de sus objetivos.
La vulnerabilidad fue descubierta por expertos en seguridad de Check Point Research (CPR), quienes advirtieron que el error combinaba la anticuada inyección rápida con la derivación de barandilla incorporada, señalando que “no se debe asumir que las herramientas de inteligencia artificial son seguras de forma predeterminada”.
Hoy en día, la mayoría de las personas comparten rápidamente datos altamente confidenciales con ChatGPT: condiciones médicas, contratos, comprobantes de pago, capturas de pantalla de conversaciones con socios, cónyuges y más. Asumen que los datos están seguros porque no se pueden extraer de la herramienta sin su conocimiento o consentimiento.
El artículo continúa a continuación.
El tráfico DNS no es un comportamiento riesgoso
En teoría, esto es correcto. Los datos se pueden extraer a través de HTTP o API externas, y ambas pueden detectarse o, al menos, rastrearse. Sin embargo, CPR pensó de manera innovadora y encontró una forma completamente nueva de extraer información a través de DNS.
“Aunque el acceso directo a Internet fue bloqueado como estaba previsto, la resolución DNS estaba disponible como parte del funcionamiento normal del sistema”, explicaron. “El DNS generalmente se considera una infraestructura inocua: se utiliza para resolver nombres de dominio, no para transmitir datos. Sin embargo, se puede abusar del DNS como un sistema de transporte encubierto codificando información en consultas de dominio”.
Debido a que la actividad de DNS no está etiquetada como intercambio de datos salientes, ChatGPT no genera un cuadro de diálogo de autorización, no muestra advertencias y no reconoce el comportamiento como inherentemente riesgoso.
“Esto creó un punto ciego. La plataforma asumió que el entorno estaba aislado. El modelo asumió que estaba operando completamente dentro de ChatGPT. Y los usuarios asumieron que sus datos no podían salir sin su consentimiento”, dijo CPR. “Las tres suposiciones eran razonables y estaban incompletas. Este es un paso importante para los equipos de seguridad: las barreras de IA a menudo se centran en políticas e intenciones, mientras que los atacantes explotan la infraestructura y el comportamiento”.
Para iniciar el ataque, aún es necesario solicitar ChatGPT, por lo que aún es necesario apretar el gatillo inicial. Sin embargo, esto se puede hacer de muchas maneras: inyectando un mensaje malicioso en un correo electrónico, un documento PDF o a través de un sitio web.
Aún así, hay otras formas de explotar esta falla incluso si GPT no funciona accidentalmente en un mensaje secuestrado, y eso es a través de GPT personalizados.
Por ejemplo, un grupo de hackers podría crear un GPT personalizado para que actúe como médico personal. Al utilizar esto, los cazadores cargarán resultados de laboratorio junto con información personal, buscarán asesoramiento y se asegurarán de que sus datos no se compartan.
Pero en realidad, un servidor controlado por los atacantes recibirá todos los archivos cargados. Para empeorar las cosas, GPT ni siquiera necesita cargar el documento completo: solo puede extraer lo esencial, lo que hace que el proceso sea más ágil, rápido y ágil.
Afortunadamente para todos, CPR descubrió esta vulnerabilidad antes de que fuera explotada en la naturaleza. Obedientemente lo entregó a OpenAI, que implementó la solución completa el 20 de febrero de 2026.
Parcheando ChatGPT y Codex
Esta es la segunda vulnerabilidad importante que OpenAI tuvo que abordar esta semana. Hoy, TechRadar Pro informó una vulnerabilidad crítica de inyección de comandos en el códice ChatGPT de OpenAI que podría permitir a los actores de amenazas robar tokens de autenticación confidenciales de GitHub.
OpenAI también solucionó un error que surgió de la forma en que Codex procesa los nombres de las ramas durante la creación de tareas. La herramienta permite a un actor malintencionado manipular parámetros de rama e inyectar comandos de shell arbitrarios mientras configura el entorno. Estos comandos pueden ejecutar cualquier código dentro del contenedor, incluidos los maliciosos. Los investigadores de Phantom Labs dijeron que pudieron extraer tokens de GitHub OAuth de esta manera, obteniendo acceso a un proyecto teórico de terceros y usándolo para mover los tokens lateralmente dentro de GitHub.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
