La vulnerabilidad ChatGPhish convierte los resúmenes web de ChatGPT en un arma para el phishing

Debido a que ChatGPT no verifica adecuadamente el contenido Markdown de las páginas web antes de mostrarlo, cualquier página que el modelo explore se convierte en un potencial vector de ataque. No se trata de una vulnerabilidad en los servidores de OpenAI, sino de una debilidad en cómo se muestra la información en el navegador del usuario, abusando de la confianza que depositamos en lo que vemos en la interfaz de ChatGPT.

El camino hasta ChatGPhish: un historial de fallos de inyección

ChatGPhish no surgió de la nada. Es el capítulo más reciente de una escalada de técnicas de inyección de prompts que han acompañado cada nueva funcionalidad de ChatGPT. Cada vez que el modelo aprendió a navegar por internet, ejecutar código o recordar información, los atacantes encontraron nuevas superficies para inyectar instrucciones y robar datos.

Estos son los hitos clave que llevaron a ChatGPhish:

• Noviembre de 2022 — El nacimiento de la inyección de prompts: El concepto de inyección de prompts fue demostrado contra GPT-3 apenas 13 días antes del lanzamiento de ChatGPT. A las pocas horas de su estreno, los usuarios ya lograban burlar sus filtros de seguridad mediante juegos de rol .
• 2023–2024 — Inyección indirecta y robo de datos vía Markdown: Investigadores descubrieron que la forma en que ChatGPT renderiza imágenes Markdown podía usarse para filtrar información de la conversación. Los atacantes introducían instrucciones maliciosas en sitios web públicos y, cuando el modelo las procesaba, generaba etiquetas de imagen que enviaban los datos extraídos a servidores externos .
• Mayo de 2024 — Robo de datos personales con ayuda de la memoria: Un estudio académico demostró que ChatGPT 4 y 4o eran vulnerables a ataques que podían extraer los datos personales de los usuarios, un riesgo agravado por la función de "memoria" del asistente .
• Marzo de 2025 — CVE-2025-43714 (inyección de HTML): Se descubrió que ChatGPT mostraba documentos SVG como imágenes dentro del navegador, en lugar de como texto. Esto permitía a los atacantes inyectar código HTML arbitrario para lanzar ataques de phishing directamente en la interfaz .
• Febrero–Marzo de 2026 — Robo de datos por DNS e imágenes Markdown: Check Point reveló una vulnerabilidad en ChatGPT que permitía extraer datos de las conversaciones mediante túneles DNS. OpenAI la corrigió el 20 de febrero de 2026. Ese mismo mes, surgió otro método que usaba enlaces maliciosos de imágenes Markdown para filtrar chats y datos del usuario a través de consultas DNS .
• Mayo de 2026 — ChatGPhish: Esta vulnerabilidad fusiona varias amenazas: la inyección indirecta de prompts, la renderización no segura de Markdown y el resumen de páginas web. La gran diferencia es que ChatGPhish está diseñada para el phishing activo, mostrando contenido fraudulento dentro de la interfaz de ChatGPT, en lugar de solo robar datos de forma oculta .

Cada paso en esta línea de tiempo sigue un mismo patrón: una nueva funcionalidad abre una nueva puerta de entrada a los atacantes, y el renderizador de Markdown demuestra ser, una y otra vez, el eslabón más débil al confiar ciegamente en el contenido externo.

La respuesta de OpenAI a finales de mayo de 2026

Hasta el 29 y 30 de mayo de 2026, la información disponible documenta la revelación pública de ChatGPhish por parte de Permiso Security, pero no se ha reportado ningún comunicado oficial ni parche de OpenAI específico para esta vulnerabilidad .

Cabe mencionar que OpenAI no estuvo inactivo en materia de seguridad durante esas fechas. La empresa gestionó dos incidentes distintos, no relacionados con ChatGPhish:

• 13 de mayo de 2026: OpenAI publicó su respuesta al ataque a la cadena de suministro de TanStack npm (conocido como “Mini Shai-Hulud”), confirmando que dos dispositivos de sus empleados se vieron comprometidos, pero que no se accedió a datos de usuarios .
• 14 de mayo de 2026: La compañía forzó la actualización de su aplicación ChatGPT para macOS como parte de la contención de ese mismo incidente .

La falta de una respuesta ante ChatGPhish es significativa. La función de resumen web queda expuesta, y ahora que el fallo es de dominio público, el riesgo de que se use activamente para lanzar ataques de phishing es mayor.

Contexto e implicaciones a futuro

ChatGPhish es un problema grave porque ataca la confianza, un pilar fundamental para que los asistentes de IA sean útiles. Cuando ChatGPT resume una página y presenta enlaces en su interfaz, el usuario no tiene ninguna señal visual que le indique que esos enlaces provienen de un tercero no confiable y no de OpenAI.

Las empresas que permiten a sus empleados usar la función de navegación de ChatGPT deberían, mientras no haya una solución oficial, tratar los resúmenes web como una fuente de contenido potencialmente peligrosa. Esta vulnerabilidad también pone de relieve una tensión en el diseño de estos sistemas: los asistentes de IA que combinan su propia interfaz con datos de terceros necesitan renderizadores que traten todo el contenido externo como una potencial amenaza, y no como un simple texto para mostrar.