La falla de ChatGPT que robaba tus archivos con un solo prompt: ya fue parcheada, pero el pedo no terminó
Check Point Research reveló cómo un mensaje malicioso podía convertir cualquier conversación de ChatGPT en un canal silencioso de robo de datos. Esto es lo que pasó y cómo protegerte.
Imagínate esto: abres ChatGPT, subes un PDF con el contrato de tu empresa, le pides un resumen, y mientras el modelo te responde, alguien más ya está recibiendo ese documento. Sin alertas, sin pop-ups, sin nada que te avise. Solo un canal invisible sacando información mientras tú crees que todo está bien.
Eso es exactamente lo que investigadores de Check Point Research documentaron a finales de 2025: una vulnerabilidad real en ChatGPT que permitía exfiltrar datos de usuarios de forma completamente silenciosa. OpenAI ya la parchó, pero hay lecciones importantes que nadie en México está discutiendo.
Cómo funcionaba el ataque: DNS tunneling al rescate del atacante
El detalle técnico que hace este fallo especialmente interesante es el mecanismo que usaba: no era una inyección SQL ni un exploit de red convencional. Era DNS tunneling dentro del entorno de ejecución de código de ChatGPT.
Cuando le pides a ChatGPT que analice datos o ejecute código Python, el modelo corre ese código en un contenedor Linux aislado. OpenAI bloqueó las conexiones HTTP y TCP salientes, es decir, nada debería poder mandarse hacia internet desde ahí. El problema: el sistema seguía permitiendo resoluciones DNS porque se asumía que eso era infraestructura benigna.
Y ahí está el truco. DNS normalmente solo resuelve nombres de dominio a direcciones IP, pero puede usarse para codificar datos dentro de los subdomains de una consulta. Algo como datos-robados.atacante.com no necesita respuesta para transmitir información: el simple hecho de que el contenedor intente resolver ese dominio ya manda los datos al servidor del atacante.
El resultado: mensajes de conversación, archivos subidos, resúmenes generados por el modelo, todo podía salir codificado en consultas DNS sin disparar una sola alerta. Ni el usuario lo ve, ni el modelo lo identifica como comportamiento sospechoso.
El vector de ataque que pone nervioso a cualquier empresa
Un prompt malicioso puede llegar de varias formas:
Opción 1: Alguien te convence de pegar un “prompt especial que desbloquea funciones premium”. Sí, hay gente que cae con eso.
Opción 2, y esta es la más seria: El payload malicioso viene integrado directamente en un GPT personalizado. Si una empresa o individuo crea un Custom GPT y mete la lógica maliciosa ahí, cualquier usuario que lo use queda expuesto automáticamente. No hay que convencer a nadie de pegar nada.
Esto escala de forma importante. No estás esperando que un usuario cometa un error: el Custom GPT ya viene “infectado” de origen.
Los investigadores también confirmaron que, más allá del robo de datos, el canal DNS podía usarse para ejecutar comandos remotos dentro del contenedor Linux, estableciendo básicamente una shell invisible fuera de los mecanismos de seguridad del modelo.
Qué datos estaban en riesgo
Lo que podía salir del sistema incluía:
- Mensajes completos de la conversación
- Archivos subidos (PDFs, hojas de cálculo, documentos de Word)
- Resúmenes y análisis generados por el modelo
Y ojo con este último punto: a veces los outputs de IA son más sensibles que los inputs originales. Si subes datos crudos de finanzas y el modelo hace un análisis con conclusiones estratégicas, ese análisis puede valer más que el Excel original.
Para empresas mexicanas que usan ChatGPT Teams o Enterprise para revisar contratos, propuestas comerciales, datos de clientes o código propietario, esto es crítico. No importa cuánto confíes en OpenAI: si alguien mete un Custom GPT malicioso en tu flujo de trabajo, el daño ya está hecho antes de que te enteres.
Timeline: cuándo pasó todo esto
| Evento | Fecha |
|---|---|
| Vulnerabilidad reportada a OpenAI | 16 de diciembre, 2025 |
| Parche inicial de Codex/GitHub token vuln | 5 de febrero, 2026 |
| Parche completo del canal DNS | 20 de febrero, 2026 |
| Divulgación pública de Check Point | Marzo 2026 |
OpenAI confirmó que no hay evidencia de explotación maliciosa antes del parche. La vulnerabilidad fue reportada responsablemente y cerrada antes de que se publicara. En ese sentido, el proceso de disclosure funcionó como debería.
ZombieAgent: la otra falla que llegó en enero
Mientras se trabajaba el parche de DNS, en enero de 2026 la empresa Radware divulgó otro exploit distinto llamado ZombieAgent. Este aprovechaba las funciones de memoria y conectores de ChatGPT mediante inyección indirecta de prompts.
El ataque funcionaba implantando instrucciones maliciosas en la memoria persistente de ChatGPT a través de correos o archivos adjuntos de apariencia inocente. Una vez que el modelo “recordaba” esas instrucciones, cualquier conversación futura con ese usuario activaba la exfiltración de datos de forma automática, incluso sin que el usuario interactuara con nada raro.
Dos vulnerabilidades distintas, descubiertas en el mismo trimestre, ambas relacionadas con las funciones más modernas de ChatGPT. Eso no es coincidencia, es la superficie de ataque creciendo más rápido que la seguridad.
Cómo protegerte hoy
Primero lo más importante: ambas fallas ya están parchadas. Si usas la versión web actual de ChatGPT, el canal DNS y ZombieAgent ya no funcionan. Pero eso no significa que debas relajarte.
Para usuarios individuales:
- No pegues prompts que te manden por redes sociales prometiendo “desbloquear ChatGPT”
- Antes de usar un Custom GPT de terceros, revisa quién lo publicó y qué permisos solicita
- Evita subir documentos con información sensible personal a servicios de IA que no conoces bien
- Si quieres más privacidad, considera correr tu propia IA local con Ollama o LM Studio para procesar documentos sensibles sin que salgan de tu máquina
Para empresas:
- Implementa una capa de seguridad propia para monitorear el tráfico DNS de las herramientas de IA que usen
- No asumas que porque OpenAI tiene políticas de seguridad, no necesitas las tuyas
- Establece políticas claras sobre qué tipos de documentos se pueden subir a servicios de IA
- Revisa los Custom GPTs que use tu equipo, especialmente si vinieron de fuentes externas
La recomendación de Check Point es directa: “Las organizaciones deben implementar su propia capa de seguridad contra inyecciones de prompt, en lugar de asumir que las herramientas de IA son seguras por defecto.”
El problema de fondo que nadie quiere ver
Este fallo llegó justo cuando la adopción de IA en empresas mexicanas está a full. Si ya leíste nuestra comparativa de ChatGPT vs Claude vs Gemini vs Grok vs DeepSeek, sabes que todos estos servicios tienen capacidades avanzadas de análisis de archivos. Y eso implica que todos tienen, en teoría, superficies de ataque similares.
El punto no es que ChatGPT sea inseguro o que debas dejar de usarlo. El punto es que cuando subes un documento a un servicio de IA, estás metiendo esa información en una infraestructura que no controlas, con funcionalidades que van evolucionando semana a semana y que a veces abren vectores de ataque nuevos antes de que nadie los identifique.
Y como ya vimos con el caso de Krafton usando ChatGPT para justificar documentos legales contra sus propios empleados, la IA ya está involucrada en decisiones con consecuencias muy reales. Que esa infraestructura tenga fallas explotables no es un detalle menor.
La neta, el parche llegó y no hubo explotación confirmada. Pero la pregunta que deberías hacerte no es “¿está parcheada esta falla?” sino “¿cuántas fallas como esta existen en este momento sin que nadie las haya encontrado todavía?”
Esa pregunta no tiene respuesta cómoda.
¿Tu empresa tiene políticas claras sobre qué subir a ChatGPT? Cuéntanos en los comentarios, porque la mayoría de las PyMEs mexicanas no las tienen y este tema los afecta directamente.
Fuentes
- Check Point Research: ChatGPT Data Leak (Fixed Feb 2026)
- The Hacker News: OpenAI Patches ChatGPT Data Exfiltration Flaw
- Cybersecurity News: ChatGPT Vulnerability Allows Silent Exfiltration
- Masterhacks Blog (en español): OpenAI corrige la vulnerabilidad de exfiltración
- TechRadar: OpenAI patches flaw allowing silent data leakage
- Aviatrix: ZombieAgent AI Memory Exploit
Comentarios
No te pierdas ningún post
Recibe lo nuevo de Al Chile Tech directo en tu correo. Sin spam.
También te puede interesar
Microsoft le puso el cerebro de Anthropic a su producto estrella (y OpenAI no la está pasando bien)
Copilot Cowork es el nuevo agente de IA de Microsoft 365 y corre con Claude de Anthropic, no con OpenAI. Te explicamos qué hace, cuánto cuesta y por qué esto cambia todo.
La ley que puede cambiarlo todo para México en semiconductores: EUA le cierra la llave a China y nosotros estamos en medio
El MATCH Act quiere cortarle el acceso a China al equipo de fabricación de chips que más le falta. México tiene todo para ganar, pero también todo para perder si no se mueve rápido.
OpenAI compró su show de tech favorito: ¿quién le va a echar carrilla ahora?
OpenAI adquirió TBPN, el show diario de 3 horas que cubre IA y tech. La empresa más influyente del sector ahora también controla uno de los medios que la cubre. Qué pedo con eso.