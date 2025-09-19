Un nuevo tipo de ciberataque, bautizado como ShadowLeak, ha logrado extraer información sensible de bandejas de entrada de Gmail utilizando el agente de investigación Deep Research de OpenAI. Este método permite la sustracción silenciosa de datos sin que el usuario sea consciente de la brecha, marcando un desafío considerable para la seguridad de la inteligencia artificial.

Lo cierto es que no es la primera vez que existe conocimiento de una acción delictiva en la red valiéndose de herramientas de inteligencia artificial, puesto que incluso compañías del peso de Google han tenido que lidiar con cuestiones similares.

ShadowLeak explota las capacidades de los agentes de IA para el robo de datos

Deep Research es un agente de inteligencia artificial integrado en ChatGPT, lanzado por OpenAI a principios de año. Su propósito es realizar investigaciones complejas de varios pasos en internet, accediendo a diversos recursos como el correo electrónico del usuario, documentos y otras fuentes. Además, tiene la capacidad de navegar por sitios web y hacer clic en enlaces de manera autónoma, para compilar informes detallados y acelerar tareas que llevarían horas a un humano.

Este ataque se vale de una técnica conocida como "inyección de prompt", un tipo de manipulación que ha demostrado ser notablemente efectiva para persuadir a los modelos de lenguaje grandes (LLMs) de realizar acciones no solicitadas. Estas inyecciones se ocultan a menudo en correos electrónicos o documentos de origen no confiable, insertando instrucciones que el modelo sigue, explotando su necesidad intrínseca de obedecer. Hasta la fecha, estas inyecciones han resultado imposibles de prevenir en general.

Según la investigación de Radware que ha visto la luz desde Ars Technica, el método ShadowLeak arma las mismas capacidades que hacen útiles a los asistentes de IA, como el acceso al correo electrónico y el uso autónomo de herramientas web. El ataque, una vez iniciada la inyección de prompt, dirigió al agente a escanear correos relacionados con recursos humanos y a extraer nombres y direcciones de empleados.

A pesar de las mitigaciones que requerían el consentimiento explícito del usuario para hacer clic en enlaces, los investigadores lograron sortear esta barrera invocando la herramienta `browser.open` de Deep Research, logrando así la exfiltración de información sensible a un servidor externo.

Concretamente, la prueba de concepto implicó incrustar una inyección de prompt en un correo electrónico enviado a una cuenta de Gmail a la que Deep Research tenía acceso. Esta inyección contenía instrucciones para que el agente accediera a una URL específica, `https://compliance.hr-service.net/public-employee-lookup/`, y adjuntara los parámetros con el nombre y la dirección del empleado extraídos. El objetivo era que el agente enviara estos detalles a un sistema de validación de cumplimiento externo, registrando la información confidencial en el log de eventos del sitio web.

Por su parte, OpenAI ha confirmado que la vulnerabilidad de ShadowLeak ha sido mitigada y ha agradecido la investigación de Radware, subrayando la mejora de salvaguardas para hacer sus modelos más robustos. No obstante, los expertos advierten que las personas que consideren conectar sus agentes de LLM a bandejas de entrada, documentos y otros recursos privados deberían reflexionar detenidamente sobre ello, ya que este tipo de vulnerabilidades no parecen ir a menos a corto plazo, planteando un reto persistente en la protección de la privacidad.