Por Mid 
Agentes de IA, foco de atención en Black Hat 2025 por sus vulnerabilidades de ‘hijacking’
Tiempo estimado de lectura: 4 minutos | Dificultad técnica: Media
Conclusiones clave
- Vulnerabilidades en asistentes virtuales permiten secuestros invisibles.
- Acceso a datos y suplantación de identidad pueden realizarse sin interacción del usuario.
- Los atacantes pueden persistir en la memoria de los sistemas comprometidos.
- Empresas afectadas han implementado parches y medidas de protección.
- La protección de la infraestructura debe evolucionar junto con las amenazas.
Índice
- Presentación de los Investigadores
- Vulnerabilidades Descubiertas
- Reacciones de las Empresas Afectadas
- Contexto Actual
Presentación de los Investigadores
Una investigación llevada a cabo por Zenity Labs ha puesto de manifiesto fallos en asistentes virtuales como ChatGPT, Copilot y Gemini, que permiten su secuestro invisible. Durante la reciente conferencia de ciberseguridad “Black Hat”, que tuvo lugar del 5 al 7 de agosto de 2025 en Estados Unidos, investigadores del equipo de Zenity Labs exponían cómo las herramientas más reconocidas, incluyendo las de Microsoft, Google y OpenAI, son vulnerables a ataques sin necesidad de que los usuarios interactúen.
Vulnerabilidades Descubiertas
En su presentación, los expertos ilustraron cómo agentes maliciosos podrían obtener acceso a datos, influir en flujos de trabajo y suplantar la identidad de los usuarios. Un nuevo aspecto alarmante es que los atacantes podrían persistir en la memoria, lo que les permitiría conservar el acceso y controlar los sistemas a largo plazo.
Según Greg Zemlin, gerente de marketing de producto en Zenity Labs, «es posible manipular instrucciones, envenenar fuentes de conocimiento y modificar drásticamente el comportamiento de un agente, lo que abre la puerta a sabotajes, interrupciones operativas y desinformación, especialmente en entornos que dependen de estos agentes para decisiones críticas».
Los investigadores identificaron vulnerabilidades en varios asistentes de IA. Por ejemplo, el ChatGPT de OpenAI podía ser comprometido mediante una inyección de código a través de correos electrónicos, lo que a su vez brindaba acceso a cuentas de Google Drive conectadas. Hallazgos similares fueron reportados en Microsoft Copilot Studio y Gemini, de Google.
Reacciones de las Empresas Afectadas
Tras ser notificados, todas las empresas afectadas implementaron parches inmediatamente. Microsoft indicó que sus agentes de Copilot están diseñados con controles de acceso y medidas de protección, comprometiéndose a fortalecer sus sistemas frente a nuevas técnicas de ataque. OpenAI, por su lado, confirmó que se están llevando a cabo diálogos con los investigadores. Además de emitir un parche, señalaron que cuentan con un programa de “bounty” para la notificación de problemas similares. En cuanto a Google, se han activado nuevas defensas en capas para mitigar las vulnerabilidades reportadas por Zenity.
Contexto Actual
Esta investigación se presenta en un contexto donde los agentes de IA evolucionan rápidamente dentro del ámbito empresarial, impulsados por la necesidad de aumentar la productividad. La clave no solo radica en la innovación, sino en la urgencia de reforzar las estructuras de defensa al mismo ritmo que aparecen nuevas amenazas.