Redazione RHC : 19 septiembre 2025 07:40
Una nueva amenaza está surgiendo en el mundo de las TI: el mundo de los agentes de inteligencia artificial.
ShadowLeak es una vulnerabilidad de inyección indirecta de mensajes (IPI) sin clic descubierta recientemente que se produce cuando ChatGPT de OpenAI se conecta al correo electrónico corporativo de Gmail y se le permite navegar por la web.
El ataque, descubierto por Radware, explota la vulnerabilidad enviando un correo electrónico de apariencia legítima que incrusta silenciosamente instrucciones maliciosas en código HTML invisible o poco evidente. Cuando un empleado le pide al asistente que «resuma los correos electrónicos de hoy» o «busque un tema en mi bandeja de entrada», el agente captura el mensaje engañoso y, sin interacción adicional del usuario, extrae datos confidenciales mediante una URL controlada por el atacante con parámetros privados (por ejemplo, nombres, direcciones e información interna y confidencial).
Es importante tener en cuenta que la solicitud web es ejecutada por el agente en la infraestructura en la nube de OpenAI, lo que provoca que la fuga de datos se origine directamente en los servidores de OpenAI. A diferencia de las vulnerabilidades de inyección indirecta de mensajes previamente descubiertas, la solicitud maliciosa y los datos privados nunca pasan por el cliente ChatGPT. Como resultado, la organización afectada ya no tiene rastros obvios que monitorear ni evidencia forense que analizar en sus fronteras.
Esta clase de exploits se alinea con los riesgos más amplios descritos en la emergente Internet de los Agentes: inteligencia artificial autónoma que utiliza diferentes herramientas y opera con distintos protocolos y servicios. A medida que las organizaciones integran estos asistentes en bandejas de entrada, CRM, sistemas de RR. HH. y SaaS, el riesgo empresarial pasa de «lo que dice el modelo» a «lo que hace el agente».
La astucia del atacante se extiende a la ingeniería social tanto para máquinas como para personas.
En ejecuciones repetidas, informa Radware, el ataque funcionó aproximadamente la mitad El tiempo con un mensaje simple y una URL de exfiltración sencilla, como https://hr-service.net/{params}. Un adversario decidido que utilice mensajes más precisos y un dominio que refleje la intención del mensaje malicioso puede lograr resultados mucho mejores.
En las pruebas, las tasas de éxito mejoraron significativamente al añadir urgencia al mensaje y al configurar el punto final de exfiltración como una comprobación de cumplimiento con un punto final de búsqueda en el directorio de empleados: https://compliance.hr-service.net/public-employee-lookup/{params}.
El razonamiento interno del agente ahora trata el mensaje malicioso como parte de una tarea urgente de cumplimiento de RR. HH.
RedazioneTras años de tensiones, aranceles, acusaciones mutuas y guerras comerciales que han destrozado el equilibrio de poder mundial, finalmente se ha producido la tan esperada reunión entre Donald Trump y...
La interrupción de los servicios en la nube de Microsoft, ocurrida apenas unas horas antes de la publicación de sus resultados trimestrales, es solo la más reciente de una larga serie de fallos que...
El Departamento de Energía de Estados Unidos (DOE) ha establecido una colaboración estratégica con Nvidia y Oracle para construir siete supercomputadoras de próxima generación impulsadas por IA ,...
Curiosamente, mientras que grandes empresas como Microsoft y Google están añadiendo activamente funciones de IA a sus navegadores, el equipo de desarrollo de Tor ha optado por eliminarlas. @henry, c...
El panorama de la ciberseguridad se vio sacudido recientemente por el descubrimiento de una vulnerabilidad crítica de ejecución remota de código (RCE) en los servicios de actualización de Windows ...
