Check Point Research (CPR), el equipo global de inteligencia de amenazas de Check Point Software Technologies, reveló el hallazgo de una vulnerabilidad crítica en ChatGPT que permitía la extracción silenciosa de datos confidenciales de los usuarios.
Francisco Carrasco M.
El fallo fue reportado de inmediato a OpenAI, que confirmó haberlo identificado internamente y desplegó una solución definitiva el 20 de febrero de 2026.
El descubrimiento llega en un momento en que millones de personas y organizaciones en todo el mundo -incluidas empresas chilenas- utilizan asistentes de inteligencia artificial para gestionar información altamente sensible: historial médico, datos financieros, contratos legales, documentos de identidad y estrategias corporativas. La expectativa de los usuarios es siempre la misma: lo que comparto con el asistente no sale de ahí.
Francisco Carrasco M.
¿Qué pasaba exactamente?
ChatGPT incluye un entorno aislado de ejecución de código en Python, diseñado para que los usuarios puedan analizar datos y resolver problemas complejos. OpenAI había declarado que ese entorno no podía generar solicitudes de red salientes hacia internet. Los investigadores de Check Point encontraron que esa restricción era bypasseable mediante tunelización DNS.
El DNS -el sistema que traduce nombres de dominio en direcciones IP- es una capa de infraestructura que normalmente pasa desapercibida. La vulnerabilidad aprovechaba que, aunque las conexiones directas a internet estaban bloqueadas, las resoluciones DNS seguían funcionando con normalidad dentro del entorno de ejecución. Los atacantes podían codificar datos en los nombres de dominio que el sistema intentaba resolver y así transportarlos hacia un servidor externo bajo su control, sin activar ninguna alarma.
Francisco Carrasco M.
El resultado: bastaba con que un usuario pegara un único prompt malicioso en una conversación de ChatGPT para que, a partir de ese momento, cada mensaje nuevo fuera una potencial fuente de filtración. Los textos ingresados, el contenido de archivos subidos e incluso las conclusiones generadas por el modelo podían ser transmitidos en silencio a un tercero, mientras la interfaz no mostraba ningún aviso, diálogo de aprobación ni indicación de actividad externa.
El vector de ataque más preocupante: los GPTs personalizados
ChatGPT permite crear asistentes personalizados llamados GPTs, que pueden ser publicados y utilizados por cualquier persona. Check Point Research demostró que un GPT malicioso podía explotar la misma vulnerabilidad sin que el usuario tuviera que hacer nada especial: solo abrir el GPT y comenzar a interactuar con él.
Para ilustrar el impacto, el equipo construyó un escenario de prueba con un GPT que simulaba ser un médico personal. Un usuario subió un PDF con resultados de exámenes de laboratorio, incluyendo su nombre y otros datos de identificación, y describió sus síntomas. El GPT respondió normalmente con una evaluación médica detallada.
Francisco Carrasco M.
Al mismo tiempo, y sin que el usuario recibiera ninguna advertencia, el servidor del atacante recibió los datos de identidad del paciente junto con el diagnóstico generado por el modelo. Al preguntarle directamente, ChatGPT negó haber enviado información a ningún lugar externo.
Más allá de la exfiltración de datos, los investigadores demostraron que el mismo canal encubierto podía usarse para establecer un shell remoto dentro del entorno Linux de ChatGPT, permitiendo ejecutar comandos desde el exterior sin que estos aparecieran en la conversación ni fueran procesados por los filtros de seguridad del modelo.
Francisco Carrasco M.
Por qué esto importa en Chile y la región
Chile es uno de los mercados de mayor adopción de herramientas de inteligencia artificial en América Latina, y el uso de asistentes como ChatGPT está ampliamente extendido en sectores como salud, finanzas, servicios legales y empresas tecnológicas. En ese contexto, el hallazgo de Check Point Research evidencia un riesgo concreto: las organizaciones que utilizan estas plataformas para procesar información sensible pueden estar expuestas a amenazas que operan por debajo del radar de sus controles de seguridad tradicionales.
Cristian Vásquez, Major Account Manager de Check Point Chile, destaca que:
"Los sistemas de inteligencia artificial ya no son solo chatbots. Son entornos de ejecución real que leen archivos, corren código y procesan información crítica de negocios y personas. Proteger esos entornos exige el mismo nivel de rigor que aplicamos a cualquier sistema corporativo. Este caso demuestra que los vectores de ataque pueden estar en capas de infraestructura que nadie tiene en el radar, como el DNS".
Vásquez agrega que la vulnerabilidad también ilustra cómo la ingeniería social evoluciona con la IA:
"Los usuarios están acostumbrados a copiar prompts de redes sociales o blogs para mejorar su productividad. Un atacante puede distribuir un prompt malicioso disfrazado de truco útil y tener acceso a datos de decenas o cientos de conversaciones. Es un vector de ataque masivo con un esfuerzo mínimo."
