Una nueva vulnerabilidad en ChatGPT ha revelado un riesgo poco habitual en sistemas de inteligencia artificial: la posibilidad de extraer datos sensibles mediante un canal encubierto basado en consultas DNS.
El problema fue identificado por investigadores de Check Point Research y posteriormente confirmado y corregido por OpenAI el 20 de febrero de 2026.
Cómo funcionaba el ataque
La vulnerabilidad se encontraba en el entorno de ejecución de código de ChatGPT, un sistema aislado utilizado para análisis de datos y ejecución de scripts.
Aunque este entorno bloquea el acceso directo a internet, permitía resolución DNS, lo que abrió una vía inesperada de exfiltración.
El ataque funcionaba así:
- Los datos sensibles se codificaban dentro de subdominios DNS
- El sistema realizaba consultas a un servidor controlado por el atacante
- Cada consulta transportaba fragmentos de información robada
En la práctica, esto convertía una función legítima del sistema en un canal oculto de salida de datos.
Un canal invisible para el modelo
Uno de los aspectos más preocupantes es que el propio sistema de ChatGPT no detectaba esta actividad como una fuga de información.
No había alertas visibles, ni solicitudes de confirmación, ni indicadores de transferencia externa de datos.
Además, el mismo mecanismo podía invertirse para enviar instrucciones al entorno de ejecución, abriendo la posibilidad de control remoto del contenedor en determinados escenarios.
GPTs personalizados como vector de ataque
El riesgo aumentaba cuando el ataque se integraba en un GPT personalizado.
Estos GPTs pueden incluir instrucciones ocultas y archivos de conocimiento, lo que permite crear asistentes aparentemente legítimos que:
- Exfiltran datos de forma silenciosa
- Reenvían información del usuario a servidores externos
- Mantienen la apariencia de comportamiento normal
Un ejemplo de prueba de concepto mostró un GPT que simulaba ser un asistente médico, pero que transmitía información sensible del usuario sin su conocimiento.
Vulnerabilidad adicional en Codex
En paralelo, también se reportó una vulnerabilidad de inyección de comandos en Codex, el agente de programación de OpenAI.
El fallo permitía inyectar comandos de shell a través de parámetros manipulados durante la creación de tareas, lo que podría exponer:
- Tokens OAuth de GitHub
- Acceso a repositorios privados
- Capacidad de movimiento lateral dentro de sistemas empresariales
OpenAI ha implementado correcciones que incluyen validación reforzada de entradas, mejor aislamiento de comandos y reducción de la vida útil de los tokens.
Implicaciones para agentes de IA
Estos incidentes ponen de relieve un problema más amplio en los sistemas de agentes de IA como ChatGPT y Codex:
Cuando un modelo tiene acceso a herramientas de ejecución o sistemas externos, incluso funciones básicas como DNS pueden convertirse en canales de ataque si no están estrictamente controladas.