Una vulnerabilidad recien descubierta llamada ChatGPhish permite que cualquier pagina web convierta ChatGPT en una superficie de phishing activa contra sus propios usuarios. Los investigadores de Permiso Security publicaron demostraciones el 29 de mayo de 2026, mostrando que ChatGPT renderiza enlaces Markdown y codigos QR de paginas web de terceros. Un sitio controlado por un atacante puede inyectar alertas de seguridad falsas, enlaces maliciosos y codigos QR de redireccion movil directamente en la sesion ChatGPT de una victima.
Como funciona ChatGPhish: el navegador confia en la IA, la IA confia en la pagina
El ataque es un Cross Prompt Injection Attack (XPIA) contra el renderizador de respuestas de ChatGPT. Cuando un usuario pide a ChatGPT que resuma o analice una pagina web externa, la IA obtiene y procesa el contenido de la pagina, incluyendo cualquier formato Markdown. ChatGPT renderiza ese formato como contenido en su propia interfaz, tratando los enlaces inyectados por el atacante como si proviniesen de la propia IA.
Tres vectores de ataque de ChatGPhish
- Falsas alertas de seguridad de OpenAI: El Markdown inyectado se renderiza como un boton con estilo que imita las notificaciones oficiales de OpenAI.
- Pivot QR a movil: Los codigos QR renderizados por ChatGPT redirigen el ataque desde el escritorio al smartphone de la victima.
- Pixels de rastreo: URLs de imagenes invisibles se auto-cargan al renderizar, filtrando la IP, User Agent y timing al atacante.
OpenAI notificada en abril - todavia sin parche
El investigador Andi Ahmeti divulgo la vulnerabilidad ChatGPhish a OpenAI a traves de Bugcrowd el 29 de abril de 2026. Tras 30 dias sin calendario de correccion, Permiso publico sus hallazgos completos el 29 de mayo de 2026. En la fecha de publicacion, OpenAI no ha publicado ningun parche.
Por que importa: asistentes de IA como infraestructura de phishing
ChatGPhish representa un cambio estructural en el riesgo de phishing. El phishing tradicional requiere convencer a los objetivos de hacer clic en enlaces sospechosos. ChatGPhish invierte el modelo: la victima utiliza proactivamente una herramienta de confianza, y esa herramienta entrega el payload de phishing desde dentro de chatgpt.com.
Para las organizaciones que gestionan entornos de navegacion corporativa, el descubrimiento de ChatGPhish refuerza el argumento a favor de cifrar el trafico de los asistentes de IA. El uso de conexiones cifradas reduce la exposicion durante las interacciones con servicios de IA en redes corporativas.
