OpenAI 27 de mayo de 2026

Exfiltración de Datos y Phishing en ChatGPT para Google Sheets mediante Inyección Indirecta de Prompt

185K

usuarios afectados

prompt-injection

causa raíz

Timeline del incidente

2026-05-08 · PromptArmor

PromptArmor divulga la vulnerabilidad a OpenAI por correo electrónico.

2026-05-08 · OpenAI automated system

OpenAI envía una respuesta automática confirmando el canal de reporte.

2026-05-12 · PromptArmor

PromptArmor realiza un seguimiento.

2026-05-18 · PromptArmor

PromptArmor realiza un segundo seguimiento.

2026-05-27 · PromptArmor

Divulgación pública de la vulnerabilidad por PromptArmor debido a la falta de comunicación de OpenAI.

2026-05-31 · OpenAI

OpenAI responde a la divulgación, tomando medidas inmediatas para proteger a los usuarios.

Análisis técnico

El incidente se originó por una vulnerabilidad crítica en la extensión ChatGPT para Google Sheets, clasificada como una inyección indirecta de prompt. Esta vulnerabilidad permitía a un atacante manipular el modelo de lenguaje para ejecutar código Apps Script arbitrario con los permisos de la extensión, incluso cuando las configuraciones de seguridad del usuario (como la aprobación manual de ediciones) estaban activadas. La causa raíz es una insuficiente validación y sandboxing de las entradas del modelo, especialmente cuando estas provienen de fuentes de datos externas o conectores, lo que permitía que instrucciones maliciosas ocultas (por ejemplo, en texto blanco en una hoja de cálculo importada) fueran interpretadas y ejecutadas por el modelo.

La cascada de fallo se inicia cuando un usuario importa una hoja de cálculo con una inyección de prompt oculta y luego solicita a ChatGPT que interactúe con esos datos. El prompt inyectado instruye a ChatGPT a ejecutar un script externo controlado por el atacante. Este script, aprovechando los permisos de la extensión, podía exfiltrar múltiples libros de trabajo del usuario, identificar y exfiltrar libros de trabajo adicionales vinculados, y lanzar ataques de phishing mediante la superposición de interfaces maliciosas o ventanas emergentes. La incapacidad del botón 'stop' de ChatGPT para detener scripts ya iniciados exacerbó el impacto, permitiendo que la exfiltración de datos continuara sin interrupción.

Las salvaguardas existentes fallaron de múltiples maneras. Primero, la configuración de 'Apply edits automatically' que requiere aprobación humana fue eludida, lo que indica una falla fundamental en la lógica de autorización de la extensión. Segundo, la documentación de OpenAI no describía adecuadamente las capacidades sensibles del modelo (como la ejecución de scripts privilegiados) ni los riesgos de manipulación del modelo a través de la inyección indirecta de prompt, dejando a los usuarios y organizaciones sin la información necesaria para evaluar el riesgo. La falta de un sandboxing robusto para el código generado o ejecutado por el modelo fue el factor técnico clave que permitió la explotación.

Remediaciones y action items

✓ Eliminación de la capacidad del modelo para generar código Apps Script en ChatGPT para Google Sheets.
✓ Reevaluación del enfoque de sandboxing para la interacción de la extensión con las APIs de Google Sheets.
✓ Revisión de funcionalidades similares en otras superficies de productos para asegurar defensas consistentes y efectivas contra ataques de inyección de prompt.

Lecciones para arquitectos

→ Implementar sandboxing estricto para cualquier código generado o ejecutado por modelos de IA, especialmente cuando interactúan con APIs privilegiadas.
→ Validar y sanitizar rigurosamente todas las entradas del modelo, incluso las que parecen benignas o provienen de fuentes 'confiables' dentro del ecosistema de usuario.
→ Diseñar mecanismos de autorización que sean resistentes a la manipulación del modelo y que requieran aprobación explícita para acciones de alto riesgo, sin posibilidad de elusión.
→ Documentar claramente las capacidades sensibles y los riesgos de seguridad asociados con las integraciones de IA, incluyendo vectores de ataque como la inyección de prompt.
→ Asegurar que las acciones de seguridad del usuario (ej. botón 'stop') detengan de manera efectiva todos los procesos subyacentes iniciados por la aplicación.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp