Investigadores de Check Point y BeyondTrust Phantom Labs han revelado recientemente vulnerabilidades críticas en ChatGPT y OpenAI Codex que abren la puerta a la exfiltración silenciosa de datos, el acceso remoto a entornos de ejecución y el compromiso de repositorios de código en GitHub. Estos hallazgos muestran que las plataformas de inteligencia artificial generativa se han convertido en objetivos de alto valor dentro del panorama de amenazas actual.
Vulnerabilidad en ChatGPT: canal encubierto de exfiltración de datos vía DNS
El equipo de Check Point identificó una debilidad en el entorno Linux donde se ejecuta el código y se analizan los datos para ChatGPT. Aunque la arquitectura del servicio limita de forma explícita las conexiones de red directas, los investigadores demostraron que era posible eludir estas restricciones utilizando el sistema de resolución DNS como canal encubierto de comunicación.
La técnica consistía en codificar información sensible —mensajes, archivos cargados u otros datos confidenciales del usuario— dentro de las propias consultas DNS generadas desde el contenedor Linux. Para el sistema, esta actividad se percibía como tráfico interno legítimo, de modo que los mecanismos de seguridad integrados no la clasificaban como fuga de información.
Como consecuencia:
• no se emitían avisos de salida de datos fuera del contexto del chat;
• no se solicitaba ningún consentimiento adicional al usuario;
• la exfiltración permanecía prácticamente invisible para todas las partes implicadas.
Según Check Point, el mismo canal DNS podía aprovecharse para establecer un shell remoto sobre el entorno Linux y ejecutar comandos arbitrarios, elevando la criticidad de la vulnerabilidad de una simple fuga de datos a un posible compromiso de infraestructura.
Prompt injection y agentes GPT maliciosos como vector de entrada
El escenario práctico de explotación se basaba en prompt injection, una técnica ya ampliamente documentada en la seguridad de modelos de lenguaje. El atacante presenta instrucciones maliciosas disfrazadas de “truco para mejorar la calidad de las respuestas” o “método para desbloquear funciones premium gratis”, induciendo al usuario a pegarlas en el chat.
El riesgo se incrementa con la popularización de GPT personalizados y agentes corporativos. En estos casos, la lógica maliciosa puede estar embebida directamente en la configuración del propio agente de IA, sin necesidad de que la víctima introduzca manualmente un texto sospechoso: basta con empezar a usar un GPT comprometido.
OpenAI corrigió esta vulnerabilidad el 20 de febrero de 2026 tras un proceso de divulgación responsable, y no existen indicios públicos de explotación activa en ataques reales.
Extensiones de navegador y filtrado de conversaciones con IA
Paralelamente, los investigadores han observado un aumento de extensiones de navegador maliciosas o de reputación dudosa diseñadas para interceptar y reenviar a servidores remotos las conversaciones de los usuarios con chatbots de IA.
Estos complementos pueden nacer directamente con fines de espionaje o transformarse en una amenaza tras una “actualización” del desarrollador. El impacto incluye robo de identidad, spear phishing dirigido, fuga de secretos comerciales y exposición de datos de clientes. En el ámbito corporativo, el riesgo es mayor: muchos empleados copian en ChatGPT código fuente, borradores de contratos y otra información sensible, sin considerar que una extensión de terceros puede estar capturando todo ese contenido.
Command injection en OpenAI Codex: secuestro de tokens de GitHub
BeyondTrust Phantom Labs descubrió otra vulnerabilidad crítica, esta vez en OpenAI Codex, un agente en la nube orientado a ingenieros de software. El origen del problema estaba en una command injection provocada por una filtración insuficiente de los datos de entrada al procesar nombres de ramas de GitHub.
La vulnerabilidad residía en una petición HTTP utilizada para crear tareas. Si el atacante controlaba el valor del parámetro que contenía el nombre de la rama, podía inyectar comandos arbitrarios. Al procesar la solicitud, el contenedor de Codex ejecutaba esos comandos en el servidor, lo que permitía robar el GitHub User Access Token empleado por la plataforma para autenticarse frente a GitHub.
Con ese token comprometido, un atacante podía moverse lateralmente por los recursos del desarrollador afectado: leer, modificar o borrar repositorios completos. Los investigadores señalan además que la misma técnica podía extenderse al robo del GitHub Installation Access Token y a la ejecución de comandos bash cada vez que se mencionaba a @codex en comentarios de pull requests.
OpenAI mitigó la vulnerabilidad el 5 de febrero de 2026, tras haber sido notificada el 16 de diciembre de 2025. El fallo afectaba al interfaz de ChatGPT, a la CLI de Codex, a los SDK asociados y a extensiones para IDE.
Seguridad en IA: necesidad de un nuevo perímetro y controles adicionales
La combinación de estas vulnerabilidades en ChatGPT y OpenAI Codex confirma que los sistemas de IA no pueden considerarse seguros “por defecto”, incluso cuando proceden de grandes proveedores tecnológicos. A medida que los agentes de IA acceden a código, documentación interna y datos personales, se convierten en puntos de entrada estratégicos para atacantes motivados.
Para las organizaciones, esto implica desplegar un capa de protección propia alrededor de los servicios de IA externos. Algunas prácticas recomendadas incluyen:
• enrutar las peticiones a modelos de IA a través de un proxy corporativo con registro exhaustivo y monitorización;
• establecer políticas claras que limiten la carga de información confidencial en modelos públicos;
• implementar filtros de contenido y análisis de prompt injection antes de enviar instrucciones al modelo;
• aplicar un control estricto de extensiones y plugins que interactúan con herramientas de IA;
• realizar auditorías periódicas de tokens, permisos e integraciones con GitHub y otros sistemas DevOps.
El uso masivo de la inteligencia artificial está ampliando rápidamente la superficie de ataque, mientras que muchos marcos de seguridad tradicionales aún no contemplan estos nuevos vectores. Integrar la seguridad de la IA en la arquitectura global de ciberseguridad, reforzar la visibilidad sobre agentes y contenedores, y educar a los usuarios sobre riesgos como la prompt injection y las extensiones maliciosas son pasos clave para reducir la probabilidad del próximo incidente de fuga de datos impulsado por herramientas de IA.
