¿Confiarías en una inteligencia artificial para gestionar algo tan personal como tu correo electrónico? No se trata solo de que responda tus mensajes, sino de permitirle ejecutar acciones en un espacio donde guardamos gran parte de nuestra vida, tanto personal como laboral. La tentación está clara: ¿por qué perder tiempo buscando y revisando correos uno a uno, cuando puedes pedirle a un asistente de IA algo tan sencillo como “Analiza mis correos de hoy y extrae toda la información sobre el proceso de contratación de nuevos empleados”?
En teoría, suena ideal. La IA se encarga de la parte pesada y tú ganas tiempo para enfocarte en lo importante.
Pero aquí está el problema: esa solución aparentemente “mágica” también puede jugar en tu contra. Lo que promete ser un aliado para ser más productivo puede convertirse en una vía para ataques maliciosos. Así lo demuestra una investigación reciente de Radware Cybersecurity, que logró que un correo electrónico especialmente diseñado engañara a la función de “Investigación en profundidad” de ChatGPT, utilizándola para filtrar información confidencial.
Lo preocupante es que el ataque es extremadamente sencillo. No se requiere hacer clic en enlaces sospechosos ni descargar nada. Solo basta con que el asistente procese un correo modificado para que termine enviando datos sensibles a un servidor bajo control del atacante, mientras el usuario ni se da cuenta.
El éxito de esta técnica se basa en combinar varias estrategias clásicas de ingeniería social adaptadas para engañar a la IA:
- Se afirma que el agente tiene “plena autorización” para acceder a URLs externas, creando una falsa sensación de permiso. - La URL maliciosa se oculta presentándola como un servicio oficial, por ejemplo, un “sistema de validación de cumplimiento”, para que parezca una tarea legítima. - Si el acceso falla, se ordena al asistente que intente varias veces y sea “creativo” hasta conseguirlo, esquivando así restricciones. - Se genera una sensación de urgencia advirtiendo que, si no se completa la tarea, “el informe quedará incompleto”, presionando para que actúe rápido. - Se asegura falsamente que los datos están en “HTML estático” o son “públicos” y se codifican en Base64 para que estén “seguros”, aunque en realidad esto ayuda a ocultar la fuga. - El correo incluye instrucciones paso a paso para que el asistente siga el formato exacto y realice la acción sin dudar.
En resumen, un email que parece inocente por fuera incluye código o indicaciones ocultas en su HTML que el agente interpreta como una orden legítima. Así funciona el ataque:
1. El atacante envía un correo con apariencia confiable, pero con instrucciones ocultas en el código. 2. El mensaje llega a la bandeja de entrada y pasa desapercibido para el usuario. 3. Cuando el usuario le pide al asistente que revise o resuma sus correos, este procesa todo sin distinguir texto visible de instrucciones ocultas. 4. El asistente ejecuta la orden y realiza una llamada a una URL externa controlada por el atacante, enviando datos extraídos del correo. 5. La empresa no detecta esta salida porque el tráfico sale desde la nube del proveedor de IA y no desde su propia red.
Las consecuencias son graves: cualquier documento, factura o plan compartido por email podría filtrarse sin que el usuario se dé cuenta. Además, el origen de la fuga es difícil de rastrear, ya que proviene de la infraestructura del asistente y no de la red interna.
Ante esta vulnerabilidad, OpenAI fue informada y actuó rápidamente para corregirla. Aunque el fallo está solucionado, el riesgo persiste, porque la forma de atacar podría repetirse con otras IAs que funcionen de manera similar. Esto obliga a replantear cuánto y cómo confiamos en estos sistemas.
En este nuevo escenario, donde los agentes de IA están cada vez más presentes, la seguridad requiere un enfoque diferente. No basta con un antivirus; es clave entender cómo funcionan estos ataques para anticiparse. Lo más llamativo es que muchos de ellos se parecen más a ejercicios de persuasión en lenguaje natural que a simples líneas de código malicioso.
En definitiva, la inteligencia artificial puede facilitarnos la vida, pero también debemos ser conscientes de sus riesgos y actuar con precaución al integrarla en tareas tan sensibles como la gestión de nuestro correo electrónico.
