Andi Ahmeti, analista de amenazas en la firma Permiso, ha documentado una técnica de inyección de prompt que transforma la función de resumen web de ChatGPT en una superficie de phishing. OpenAI fue notificada el 29 de abril de 2026 pero, según los investigadores, no aplicó correcciones antes de la divulgación pública.
Qué es ChatGPhish
El nombre ChatGPhish describe un ataque de inyección de prompt basado en navegador que explota la función de resumen de páginas web de ChatGPT. El problema de fondo es que el renderizador de `chatgpt.com` no distingue entre el contenido generado por el propio modelo y el Markdown no confiable extraído de una página externa que el asistente acaba de procesar: trata ambos como equivalentes y renderiza enlaces, imágenes y texto con el mismo nivel de confianza.
Cómo funciona el ataque
El proceso requiere cuatro pasos. Primero, un atacante inserta instrucciones ocultas en formato Markdown dentro de cualquier página web de acceso público. Segundo, cuando un usuario pide a ChatGPT que resuma esa página, el asistente genera un resumen aparentemente legítimo y después añade el contenido malicioso inyectado. Tercero, la interfaz de ChatGPT muestra el resultado mezclado sin señalar el origen externo del fragmento malicioso. El usuario, que confía en que la respuesta procede del propio asistente, no tiene motivos evidentes para sospechar.
Cuatro primitivas de ataque
Ahmeti identificó cuatro formas concretas de aprovechar esta debilidad. La primera es el phishing mediante enlaces Markdown: el asistente muestra un enlace de apariencia legítima que en realidad apunta a un dominio del atacante. La segunda son las alertas falsas de seguridad, texto estilizado como notificación de sistema que induce al usuario a actuar con urgencia. La tercera son códigos QR autorrenderizados, que sortean los bloqueadores de URL y los gestores de contraseñas del escritorio porque la URL maliciosa nunca aparece en texto plano. La cuarta es el rastreo pasivo: imágenes incrustadas que, al cargarse automáticamente, filtran la dirección IP del navegador, el User-Agent y la cabecera Referer hacia servidores controlados por el atacante sin que el usuario realice ninguna acción activa. La técnica fue demostrada en Firefox, aunque Ahmeti señala que no es exclusiva de ese navegador.
Respuesta de OpenAI
Permiso presentó el informe inicial a OpenAI a través de la plataforma Bugcrowd el 29 de abril de 2026. La compañía respondió que no podía reproducir la vulnerabilidad; un reporte revisado enviado el 1 de mayo fue clasificado como duplicado de un problema ya reportado con anterioridad. Tras un seguimiento el 7 de mayo en el que Permiso amplió las implicaciones del ataque —phishing, códigos QR y rastreo pasivo—, la investigación se publicó el 29 de mayo de 2026 sin que OpenAI hubiera implementado correcciones. The Register señala que OpenAI no respondió a sus preguntas sobre el estado actual de la vulnerabilidad.
Recomendaciones del investigador
Ahmeti propone que OpenAI aplique aislamiento robusto, renderizado en entornos aislados (sandboxing) y filtrado estricto sobre Markdown, HTML, incrustaciones y vistas previas de enlace. Mientras esas medidas no estén implementadas, los usuarios que empleen ChatGPT para resumir páginas externas deben tratar cualquier enlace o alerta que aparezca en la respuesta con el mismo escrutinio que aplicarían a un correo de remitente desconocido.
El análisis de Telecomatik
Para una pyme, el riesgo concreto es que cualquier trabajador que use ChatGPT para resumir una web —una oferta de proveedor, un contrato, una noticia del sector— puede recibir en la respuesta del asistente un enlace de phishing o un código QR malicioso, sin que el aspecto de la interfaz difiera en nada de una respuesta normal. El vector es especialmente peligroso porque el empleado no recibe el enlace por correo, donde los filtros antiphishing podrían actuar, sino dentro de una herramienta de trabajo en la que deposita confianza. La medida de protección más inmediata no requiere tecnología: basta con establecer una norma interna que prohíba introducir credenciales corporativas a partir de cualquier enlace generado por ChatGPT, independientemente de su apariencia.
Vía: The Hacker News
Fuentes consultadas:
