Pides a ChatGPT que te resuma una web. La IA cumple tus órdenes y lo hace. Y sin que lo sepas, acaba de ejecutar instrucciones que el atacante dejó escondidas en esa página.

Eso es ChatGPhish, una técnica descubierta por los investigadores de Permiso Security y documentada por Andi Ahmeti. La raíz del problema es simple: ChatGPT renderiza Markdown. Y cuando resume una página, confía en los enlaces y las imágenes que encuentra en ella, tratándolos como contenido legítimo dentro de su propia interfaz.

Qué puede hacer un atacante con esto

Cuatro cosas concretas. La primera: cuando ChatGPT carga automáticamente las imágenes de la página resumida, le entrega al atacante tu dirección IP, el User-Agent de tu navegador y la URL desde la que hiciste la consulta. No necesita que hagas clic en nada.

La segunda: los enlaces maliciosos del Markdown se renderizan como elementos clicables dentro de la respuesta de ChatGPT. No en una web sospechosa. Dentro de la interfaz de la IA, donde el usuario tiene la guardia baja.

La tercera: se pueden inyectar alertas falsas de seguridad que imiten el aspecto de notificaciones del sistema, difíciles de distinguir de un aviso real.

La cuarta es quizá la más ingeniosa: el atacante puede servir un código QR desde un bucket de Amazon S3 directamente en la respuesta de ChatGPT. El usuario lo escanea con el móvil. Y de un golpe ha esquivado los filtros de URL del escritorio y los controles de seguridad corporativos.

Por qué es un nuevo tipo de phishing

Hasta ahora, para caer en una trampa de phishing necesitabas abrir un adjunto, hacer clic en un enlace sospechoso o visitar una web con algo raro. Aquí no. Basta con pedirle a ChatGPT que resuma una página durante tu jornada normal de trabajo. Si esa página tiene el payload, ChatGPT se convierte en el vector.

Como señala Permiso en su análisis: “El cambio del email al navegador amplía significativamente la superficie de ataque potencial. El usuario ya no tiene que abrir un adjunto malicioso ni interactuar con un mensaje sospechoso. Simplemente con resumir una página durante la navegación habitual puede introducir instrucciones controladas por el atacante en el contexto del modelo.”

No es solo con una IA

ChatGPhish no es un caso aislado. Esta misma semana se han publicado detalles de SymJack y TrustFall, dos técnicas que permiten a un repositorio malicioso ejecutar código arbitrario en el equipo de un desarrollador a través de agentes de IA como Claude Code o Cursor, y de ClaudeBleed, una vulnerabilidad en la extensión de Chrome de Claude que permite a cualquier extensión del navegador secuestrarla sin permisos especiales.

El patrón parece estar claro: los sistemas de IA confían demasiado en el contenido que procesan. Y esa confianza se está convirtiendo en una superficie de ataque.