ChatGPhish: resúmenes web de ChatGPT como vector de phishing

Qué pasa

Permiso Security documentó ChatGPhish, una técnica que convierte la función de resumen web de ChatGPT en un vector de phishing. El problema está en el renderizador de chatgpt.com: cuando el modelo visita una URL para resumirla, trata como legítimo el Markdown que encuentra en la página. Si esa página contiene enlaces Markdown maliciosos, el renderizador los muestra como links clicables en la respuesta — sin ninguna advertencia visual que indique que provienen de contenido externo.

El mecanismo es la *prompt injection* (instrucción maliciosa embebida en contenido que el modelo procesa — el atacante desvía el comportamiento del modelo sin acceso directo) indirecta. El atacante no necesita interactuar con el modelo directamente. Basta con que la víctima pida a ChatGPT que resuma una página bajo control del atacante. El modelo obedece el Markdown embebido y entrega un link de phishing como si fuera parte de su respuesta legítima.

Por qué importa

El phishing clásico requiere que el usuario reciba un email sospechoso o llegue a una URL maliciosa por su cuenta. ChatGPhish elimina esa fricción: la víctima actúa desde la interfaz de ChatGPT, un entorno que percibe como seguro. El link malicioso no llega en un email de spam — llega dentro de la respuesta del asistente de IA en el que confía.

Eso eleva el nivel de credibilidad del ataque de forma significativa. Los usuarios entrenados para desconfiar de links en emails no tienen un reflejo equivalente para links dentro de respuestas de ChatGPT. La superficie afecta a cualquier usuario con acceso a la función de navegación web — millones de cuentas en planes Plus, Pro y Team.

El patrón además es replicable. Cualquier LLM que renderice Markdown de contenido externo sin sanitizarlo tiene la misma exposición: Microsoft Copilot, Google Gemini, cualquier agente con herramienta de browse. ChatGPhish no es un bug único de OpenAI — es un problema de diseño sistémico en cómo los LLMs gestionan la confianza sobre contenido externo.

Qué hacer

• Deshabilita la navegación web de ChatGPT en Configuración → Controles de datos → Navegar por la web, si no la usas activamente.
• Audita cualquier workflow interno que use ChatGPT para resumir URLs — especialmente si los resultados se muestran a usuarios finales sin revisión humana.
• Instruye a tu equipo a verificar la URL destino (hover o inspección manual) antes de clicar cualquier link dentro de una respuesta de ChatGPT.
• Si desarrollas sobre la API de OpenAI con herramientas de browse, sanitiza el Markdown que el modelo devuelve antes de renderizarlo en tu interfaz.
• Monitoriza comunicaciones internas en busca de links sospechosos que los usuarios digan haber obtenido «de ChatGPT» — los ataques sociales pueden usar ChatGPhish como capa de legitimación.

La raíz del problema no es exclusiva de ChatGPT: ningún renderizador de Markdown en un LLM debería heredar implícitamente la confianza del usuario sobre contenido externo. Hasta que OpenAI y el resto de vendors corrijan esto a nivel de renderer — con advertencias explícitas de origen externo o deshabilitando el render de links provenientes de páginas visitadas — el vector sigue abierto en producción.