Lima, noviembre de 2025.- Una investigación realizada por Tenable Research reveló siete vulnerabilidades críticas en ChatGPT-4o que permiten la exfiltración de datos, el secuestro de memoria y el compromiso silencioso de sesiones. Varias de estas fallas también fueron encontradas de forma persistente en ChatGPT-5, lo que implica riesgos activos para usuarios y organizaciones que utilizan herramientas de IA generativa para trabajo, educación o comunicación personal.
El conjunto de fallas fue denominado HackedGPT, y expone debilidades que podrían ser aprovechadas para el robo de información privada, la manipulación de conversaciones y la infiltración de comandos ocultos sin conocimiento del usuario. Aunque OpenAI ya corrigió algunas vulnerabilidades, otras permanecían sin ser abordadas al momento de la publicación del informe, manteniendo abiertas rutas potenciales de ataque.
El impacto es relevante: cientos de millones de personas usan ChatGPT a diario y en América Latina la adopción supera el promedio global, especialmente en entornos corporativos y educativos. Por ello, la investigación de Tenable plantea retos urgentes de seguridad, regulaciones y buenas prácticas.
Una de las principales preocupaciones son los ataques de inyección indirecta de prompt, una nueva clase de técnica en la que instrucciones ocultas en sitios web o documentos engañan a la IA para ejecutar acciones sin autorización. Estas fallas afectan funciones recientes como navegación web y almacenamiento de memoria, que procesan datos externos y guardan información del usuario. Según los investigadores, este vector crea una ventana de exposición que permite manipular conversaciones, obtener datos personales y comprometer cuentas vinculadas.
Tenable también demostró que algunos de estos ataques pueden activarse sin que el usuario haga clic o abra enlaces. Los denominados ataques “0-clic” se disparan simplemente al realizar una consulta: si el modelo extrae información de una página comprometida, ejecuta instrucciones ocultas que podrían filtrar datos o cambiar comportamientos del sistema sin generar alertas visibles.
Aún más preocupante es la técnica de Inyección de Memoria Persistente, donde comandos maliciosos quedan almacenados en la memoria a largo plazo del modelo, permaneciendo activos incluso después de cerrar el chat. De esta manera, un atacante podría mantener un acceso silencioso y duradero, ya que la IA seguiría ejecutando órdenes y exponiendo información en sesiones futuras sin conocimiento del usuario.
“HackedGPT expone una debilidad fundamental en cómo los modelos de lenguaje grande juzgan en qué información confiar”, señaló Moshe Bernstein, ingeniero de investigación senior en Tenable. “Individualmente, estas fallas parecen pequeñas, pero juntas forman una cadena completa de ataque, desde la inyección y evasión hasta el robo de datos y la persistencia. Los sistemas de IA no son solo objetivos potenciales; pueden convertirse en herramientas de ataque que recolectan información silenciosamente”.
Las siete vulnerabilidades identificadas por Tenable incluyen:
• Inyección indirecta de prompt a través de sitios de confianza: comandos ocultos en páginas legítimas.
• Ataques 0-clic en búsquedas web: el usuario solo formula una pregunta y la IA ejecuta instrucciones maliciosas.
• Ataques 1-clic: enlaces aparentemente seguros activan código oculto.
• Omisión de mecanismos de seguridad: el modelo puede ser dirigido a sitios maliciosos usando URL de confianza como wrappers.
• Inyección de conversación: instrucciones ocultas que el propio modelo “se lee a sí mismo”.
• Ocultamiento de contenido malicioso: fallas de formato permiten esconder instrucciones en código o markdown.
• Inyección de memoria persistente: comandos maliciosos se almacenan en la memoria de largo plazo y continúan activos con el tiempo.
El impacto potencial incluye el robo de historiales, fuga de documentos conectados a servicios externos, manipulación de respuestas y campañas de desinformación basadas en la alteración del comportamiento del modelo.
Tenable recomienda a las empresas considerar las herramientas de IA como superficies de ataque en tiempo real, no como asistentes pasivos. Para mitigar riesgos sugiere monitorear integraciones, auditar conexiones con servicios externos, reforzar defensas contra inyección y establecer controles de gobernanza y clasificación de datos.
“Esta investigación no se trata solo de exponer fallas, sino de cambiar la forma en que aseguramos la IA”, añadió Bernstein. “Las organizaciones deben asumir que estos sistemas pueden ser manipulados y diseñar controles que garanticen que funcionen para nosotros, no contra nosotros”.
La investigación fue realizada bajo prácticas de divulgación responsable. Si bien OpenAI ha corregido parte de los hallazgos, Tenable advierte que aún existen rutas de exposición en versiones actuales del modelo, por lo que la comunidad de seguridad deberá continuar evaluando y reforzando los mecanismos de protección de la inteligencia artificial generativa.