ChatGPT podría sugerirte un enlace de phishing sin siquiera darse cuenta: análisis del ataque ChatGPhis
¿Por qué hackear el navegador si basta con inyectar instrucciones maliciosas en tu IA?
Una página web normal puede convertirse en un cebo tan eficaz como un correo de phishing si su contenido es reelaborado por un asistente de IA. Una nueva investigación mostró cómo un atacante puede ocultar instrucciones directamente en un sitio, y luego lograr que ChatGPT incluya en su respuesta una advertencia falsa, un enlace o un código QR.
El autor del trabajo, Andi Ahmeti de la empresa Permiso, llamó a la técnica ChatGPhish. Según sus datos, el problema se manifiesta cuando el usuario abre la página en el navegador y pide a ChatGPT que resuma brevemente su contenido. En las pruebas se usó Firefox, pero el autor no considera que el navegador sea el origen de la vulnerabilidad. El riesgo está relacionado con la forma en que el servicio de IA procesa contenido de terceros y muestra el resultado en una interfaz de confianza.
El escenario se basa en la inserción de una instrucción de texto en una página común, por ejemplo, un README en GitHub, un artículo, documentación o un sitio de marketing. La parte visible de la página puede parecer legítima, mientras que un fragmento oculto o poco visible dicta al modelo el formato de respuesta deseado. Tras el resumen, ChatGPT muestra un resumen normal, pero junto con él añade un bloque impuesto por el atacante que se asemeja a una notificación de cuenta.
En la demostración ese bloque informaba de la adición de un nuevo dispositivo y ofrecía seguir un enlace. Para el usuario el peligro está en que el enlace aparece ya dentro de la respuesta de ChatGPT y visualmente puede percibirse como parte del mensaje del asistente, y no como un elemento procedente de una página externa.
Una variante separada del ataque utiliza imágenes en Markdown. Si en la respuesta aparece un código QR alojado en un servidor controlado por el atacante, la interfaz puede descargar y mostrar automáticamente la imagen. Al escanearlo, la víctima accede desde el teléfono a un sitio externo, sin pasar por los mecanismos de protección habituales del navegador de escritorio, incluida la vista previa del enlace al pasar el cursor y la verificación del dominio por el gestor de contraseñas.
Otro escenario está relacionado con la vigilancia pasiva. Al cargar una imagen remota, el servidor del atacante puede obtener la dirección IP, el User-Agent, el Referer si se envía ese encabezado, y la hora exacta de la consulta. Esos datos son suficientes para confirmar que una víctima concreta abrió la página y pidió a ChatGPT que la resumiera.
Ahmeti informó que remitió el material a OpenAI a través de Bugcrowd a finales de abril de 2026. En la primera solicitud no se logró reproducir el problema, la repetida se consideró no aplicable y luego se vinculó a un problema ya conocido. El 29 de mayo el autor publicó la investigación para mostrar un riesgo más amplio: phishing, las transiciones por QR y el rastreo pueden provenir no de un correo, sino de una página común resumida por un servicio de IA.