Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2426
)
-
▼
abril
(Total:
101
)
-
Crean una pasta térmica revolucionaria creada con ...
-
Apple cumple 50 años
-
Vulnerabilidad SQLi está siendo explotada en Forti...
-
Vulnerabilidad en ChatGPT permitió a atacantes rob...
-
Google presenta detección de ransomware y restaura...
-
NVIDIA lanza DLSS 4.5 Multi Frame Generation x6 y ...
-
Notepad++ v8.9.3 lanzado para corregir vulnerabili...
-
Internet bajo tierra: logran enviar datos sin cabl...
-
SystemRescue 13: nueva versión del sistema de rescate
-
Micron planea adaptar la memoria GDDR de GPU gamin...
-
Swift llega a Android y rompe otra barrera entre i...
-
China convierte a los perros-robot en infantería c...
-
El SSD de los MacBook Pro (M5 Max) alcanza más de ...
-
Los 5 errores más comunes que cometes al usar Claude
-
Piratas vinculados a Corea del Norte comprometen p...
-
El malware CanisterWorm ataca Docker, K8s y Redis ...
-
Campaña vinculada a Corea del Norte abusa de GitHu...
-
Servidor expuesto revela kit de ransomware TheGent...
-
Nuevo ataque de "robo de prompts" roba conversacio...
-
Comprometieron más de 700 hosts de Next.js al expl...
-
La mayoría de la gente hace lo que le dice ChatGPT...
-
La nueva vulnerabilidad del escáner de Open VSX pe...
-
Instalar Windows 11 con una cuenta local con Rufus
-
La AMD Radeon HD 6990 cumple 15 años de vida: así ...
-
Vulnerabilidad en Vim permite a atacantes ejecutar...
-
Board Repair Guy, experto en reparación de consola...
-
Bing Maps recibe su mayor actualización de datos e...
-
NVIDIA llevará al Computex 2026 sus N1 y N1X, los ...
-
Vulnerabilidades críticas en Grafana permiten ejec...
-
Vulnerabilidad crítica en n8n permite ejecución re...
-
El precio de PS6 va a ser un problema: la consola ...
-
El ransomware Qilin usa una DLL maliciosa para des...
-
Sitios web para descargar libros electrónicos grat...
-
Los procesadores Nova Lake-HX para portátiles ofre...
-
Neal Mohan, CEO de Youtube, sobre los "contenidos ...
-
Xiaomi hace inteligente la regleta de enchufes: co...
-
Las NVIDIA GeForce RTX 60 ofrecerían una mejora de...
-
Hasbro ha sido hackeada: sus webs están caídas y l...
-
Comparación entre un cable de audio boutique de 4....
-
Los términos de servicio de Microsoft Copilot etiq...
-
Extensiones de Chrome que hacen NotebookLM mucho m...
-
Kioxia dejará la NAND barata: adiós a la memoria 2...
-
Tecnologías que van a definir el futuro del gaming
-
Chrome acumula 4 vulnerabilidades 0-day explotados...
-
La NASA acelera su plan para volver a la Luna
-
Fujitsu y Rapidus aceleran la carrera japonesa por...
-
Xbox Triton, el plan más Microsoft de Game Pass
-
El error que estás cometiendo con las antenas de t...
-
Oracle despide a 30.000 empleados para impulsar su...
-
Cómo un fallo en una librería de Python puede comp...
-
Vulnerabilidad crítica en el piloto automático PX4...
-
El marco de malware VoidLink demuestra que el malw...
-
India prohibirá la venta de productos Hikvision, T...
-
El rootkit VoidLink usa eBPF y módulos del kernel ...
-
TA416 amplía operaciones de espionaje en Europa co...
-
Google lanza una IA que busca por ti mientras le h...
-
Artemis II despega hacia la Luna
-
Google prueba una función para cargar tu móvil And...
-
Sony deja de vender tarjetas de memoria SD y CFexp...
-
Vulnerabilidad en IDrive para Windows permite esca...
-
OpenAI recauda 122.000 millones de dólares en su ú...
-
Xbox Helix: posibles especificaciones, rendimiento...
-
El Intel Core 3 304 (Wildcat Lake) en Geekbench mo...
-
Paquete PyPI de Telnyx con 742.000 descargas compr...
-
ASUS Zenbook A16: Snapdragon X2 Elite y más de 21 ...
-
Páginas falsas de CAPTCHA de Cloudflare propagan e...
-
En España a partir del 1 de abril ya no tendrás qu...
-
Los precios de la DRAM podrían subir un 63% en el ...
-
Microsoft establece prioridad total a la barra de ...
-
Sin piernas ni ruedas: así es el robot Icarus Robo...
-
Un youtuber demuestra en vídeo que los cables de a...
-
Actualización de emergencia de Windows 11 para sol...
-
Google pone fecha tope para la criptografía poscuá...
-
Vulnerabilidades críticas de RCE en WebLogic
-
Microsoft emite actualización de emergencia para W...
-
Anthropic confirma la filtración del código fuente...
-
Nueva vulnerabilidad de día cero en Chrome explota...
-
Redes como Youtube o Instagram están pensadas para...
-
Meta llega a un acuerdo con Entergy Corp. y financ...
-
La memoria DDR5 ha comenzado a bajar de precio: lo...
-
Intel Wildcat Lake (Core 300): especificaciones de...
-
FRITZ!Box 6825 4G ya disponible en España: olvídat...
-
La misión Artemis II de la NASA no tiene nada que ...
-
CISA advierte sobre vulnerabilidad en F5 BIG-IP ex...
-
Hackers norcoreanos comprometen paquete Axios para...
-
Cómo aprovechar al máximo el potencial de las gráf...
-
Fortnite podría ser de Disney: quiere comprar Epic...
-
Anthropic filtra por error el código fuente de Cla...
-
Google Drive tiene una función de IA que no vas a ...
-
El código fuente de Claude de Anthropic supuestame...
-
La librería de JavaScript Axios con 80 millones de...
-
Investigadores desarrollan tecnología "Wi-Fi" de p...
-
Una cocinera ha recreado recetas reales generadas ...
-
Todd McKinnon, experto en ciberseguridad, sobre el...
-
Google Gemini podría permitir crear avatares 3D de...
-
Taiwán experimenta la peor escasez de agua de los ...
-
Wikipedia no quiere artículos escritos por la IA
-
Google lleva la música generativa al siguiente niv...
-
La IA ya domina el ajedrez… por eso los humanos va...
-
AMD lanzó la Radeon HD 6990 de doble GPU hace 15 a...
-
-
▼
abril
(Total:
101
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Un error con las antenas del router WiFi es colocarlas en direcciones incorrectas , lo que reduce la velocidad de Internet; ajustar su p... -
Google Drive incorpora una función de IA que automatiza tareas complejas en segundos, ahorrando hasta media hora de trabajo manual , integ... -
Aquellos cables de audio mejorados probablemente no llevarán tu experiencia de escucha musical al siguiente nivel. Todo lo que necesitas son...
Vulnerabilidad en ChatGPT permitió a atacantes robar datos sensibles de usuarios
Los usuarios suelen confiar en los asistentes de IA con información altamente sensible, como historiales médicos, documentos financieros y código empresarial propietario. Check Point Research reveló recientemente una vulnerabilidad crítica en la arquitectura de ChatGPT que permitía a los atacantes extraer este mismo tipo de datos de usuario de manera silenciosa.
Los usuarios confían habitualmente en los asistentes de IA con información altamente sensible, como historiales médicos, documentos financieros y código empresarial propietario.
Check Point Research reveló recientemente una vulnerabilidad crítica en la arquitectura de ChatGPT que permitía a los atacantes extraer este tipo de datos de usuario de forma silenciosa.
Al explotar un canal encubierto de salida en el entorno aislado de ejecución de código de ChatGPT, los atacantes podían extraer el historial de chats, archivos subidos y salidas generadas por IA sin activar alertas para el usuario ni solicitudes de consentimiento.
Eludiendo las protecciones de salida
OpenAI diseñó el entorno de Análisis de Datos basado en Python como un sandbox seguro, bloqueando intencionalmente las solicitudes HTTP directas de salida para evitar fugas de datos.
.webp)
Las llamadas legítimas a APIs externas, conocidas como GPT Actions, requieren el consentimiento explícito del usuario a través de diálogos de aprobación visibles.
Sin embargo, los investigadores descubrieron un método para eludir esta protección basado completamente en tunelización DNS. Aunque el acceso convencional a Internet estaba bloqueado, el entorno del contenedor aún permitía la resolución DNS estándar.
Los atacantes aprovecharon este descuido codificando datos sensibles de los usuarios en etiquetas de subdominios DNS.
En lugar de usar DNS únicamente para la resolución de nombres de IP, el exploit divide los datos —como un diagnóstico médico analizado o un resumen financiero— en fragmentos seguros.
Cuando el entorno realiza una búsqueda recursiva, la cadena de resolución transporta los datos codificados directamente a un servidor externo controlado por el atacante.
Como el sistema no reconocía el tráfico DNS como una transferencia de datos externa, eludía toda mediación del usuario.
Armas personalizadas de GPTs
El ataque requiere una interacción mínima del usuario y se inicia con un único prompt malicioso.
.webp)
Los actores de amenazas pueden distribuir estas cargas útiles en foros públicos o redes sociales, disfrazándolas como trucos de productividad o jailbreaks para desbloquear capacidades premium de ChatGPT.
Una vez que un usuario pega el prompt en su chat, la conversación actual se convierte en un canal encubierto de recolección de datos. Alternativamente, los atacantes pueden incrustar la lógica maliciosa directamente en Custom GPTs.
Si un usuario interactúa con un GPT con puerta trasera, como un falso “médico personal” que analiza PDFs médicos subidos, el sistema extrae en secreto identificadores de alto valor y evaluaciones.
Dado que los desarrolladores de GPT no tienen acceso oficial a los registros de chats individuales, este canal lateral proporciona un mecanismo sigiloso para recolectar flujos de trabajo privados.
Cuando se le pregunta directamente, la IA incluso negaba con seguridad enviar datos externamente, manteniendo una ilusión completa de privacidad.
.webp)
La vulnerabilidad iba mucho más allá del robo pasivo de datos, ofreciendo un canal de comunicación bidireccional entre el entorno de ejecución y el atacante.
Como los actores de amenazas podían codificar fragmentos de comandos en las respuestas DNS, podían enviar instrucciones brutas de vuelta al sandbox aislado.
Un proceso en ejecución dentro del contenedor podía reensamblar estas cargas útiles y ejecutarlas, otorgando efectivamente al atacante un shell remoto dentro del entorno Linux.
Según la investigación de Checkpoint, esta ejecución eludía los mecanismos de seguridad estándar, manteniendo los comandos y resultados invisibles en la interfaz de chat, dejando a los usuarios completamente ajenos al compromiso.
OpenAI parcheó con éxito el problema subyacente el 20 de febrero de 2026, cerrando el túnel DNS.
Sin embargo, este incidente destaca perfectamente la creciente superficie de ataque de los asistentes de IA modernos a medida que evolucionan hacia entornos de ejecución complejos y multicapa.
Fuentes:
https://cybersecuritynews.com/chatgpt-vulnerability/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.