La inteligencia artificial se ha convertido en una capa de confianza para millones de usuarios que la usan a diario para resumir artículos, revisar documentación, entender código, investigar temas complejos o navegar información más rápido. Pero esa misma capa de confianza está empezando a abrir un nuevo frente de riesgo. Una investigación publicada por Permiso advierte que cualquier página web que un usuario le pida resumir a ChatGPT podría convertirse en un vehículo de phishing si contenido malicioso logra colarse en la respuesta mostrada por la propia interfaz del asistente.

## Qué es ChatGPhish y por qué encendió alertas

La técnica fue bautizada como ChatGPhish y apunta a un problema que va más allá del clásico *prompt injection*. Según el reporte del investigador Andi Ahmeti, de Permiso, el riesgo no está solo en que el modelo pueda ser influido por instrucciones maliciosas incrustadas en una página, sino en que esa información termine presentada dentro de un entorno que el usuario percibe como confiable: la ventana de ChatGPT.

Ese matiz cambia mucho el peso del hallazgo. El problema no es únicamente lo que la IA “lee”, sino la forma en que luego lo “muestra”. Si el usuario ve enlaces, alertas o recursos visuales integrados dentro de una respuesta del asistente, es más probable que los perciba como legítimos, incluso cuando provienen de contenido controlado por un atacante.

## Cómo una página web puede convertirse en un payload

La investigación describe un escenario en el que un atacante añade una pequeña carga maliciosa al contenido de una página pública. Esa página puede ser un README en GitHub, una página de documentación, un blog post o una landing page aparentemente legítima. Si la víctima visita ese contenido y luego utiliza una función de resumen con ChatGPT desde el navegador, ese material podría influir la salida del modelo.

Según Permiso, si el sistema toma contenido externo y luego lo renderiza dentro de la respuesta del asistente sin separar claramente qué parte vino del sitio original y qué parte fue realmente generada por la IA, se crea una transferencia peligrosa de confianza. En la demostración publicada por la firma, Firefox sirvió como punto de entrada para activar el flujo de “resumir página”, aunque los investigadores aclaran que esto no debe interpretarse como una vulnerabilidad del navegador en sí. El problema real estaría en el diseño del flujo entre lectura, resumen y renderizado.

## Los riesgos: enlaces falsos, alertas engañosas y códigos QR

El reporte identifica varios vectores concretos. Uno es el más evidente: enlaces maliciosos renderizados como clicables dentro de la respuesta del asistente. Otro es la aparición de alertas falsas con apariencia de mensajes legítimos, escritas con un tono y una presentación que pueden parecer parte del propio entorno de ChatGPT.

También aparece un tercer riesgo importante: el uso de imágenes remotas y códigos QR. Permiso sostiene que imágenes cargadas automáticamente podrían funcionar como balizas de rastreo, filtrando datos como IP, User-Agent, Referer y el momento en que la respuesta fue renderizada. En el caso de los códigos QR, el problema es aún más delicado porque desplaza el ataque del escritorio al celular. Una víctima podría escanear un QR desde la interfaz del asistente y terminar en un sitio controlado por un atacante, saltándose varias defensas habituales del navegador de escritorio.

## Por qué este caso importa más allá de ChatGPT

Lo que hace especialmente relevante esta historia es que no se limita a un bug puntual o a un producto aislado. La noticia vuelve a poner sobre la mesa un problema más amplio: cada vez más asistentes de IA están funcionando como una capa intermedia entre el usuario y la web.

Eso significa que ya no basta con pensar en páginas maliciosas, correos sospechosos o descargas peligrosas. Ahora también hay que pensar en qué ocurre cuando una IA scrapea, resume, reordena y presenta contenido externo dentro de una interfaz conversacional. Si esa capa hereda confianza visual y funcional, también hereda valor para un atacante.

La cobertura de The Register subrayó precisamente este punto al señalar que los productos de IA empiezan a parecerse cada vez más a un navegador o incluso a un sistema operativo reducido, con más capacidades, más contexto y por lo tanto una superficie de ataque mayor. En paralelo, The Hacker News insistió en que una web aparentemente normal podría convertir a ChatGPT en una nueva superficie de phishing.

## Qué dijeron los investigadores y cuál es el estado del caso

Permiso incluyó una cronología de divulgación donde indica que reportó inicialmente el problema a OpenAI el 29 de abril de 2026 a través de Bugcrowd. Posteriormente, presentó una versión ampliada del hallazgo el 1 de mayo con más detalles de reproducción y mayor contexto sobre el impacto del problema. Finalmente, la firma publicó la investigación el 29 de mayo.

De acuerdo con ese mismo reporte, el caso fue marcado primero como “no reproducible” y luego como duplicado. The Register añadió que no obtuvo confirmación pública de OpenAI sobre si el problema ya había sido corregido por completo al momento de su cobertura. Ese detalle es importante porque evita sobrerreaccionar: la historia es seria, pero también exige precisión sobre el estado real de la mitigación.

## La lección para usuarios y empresas

Para usuarios comunes, la conclusión es sencilla: no todo lo que aparece dentro de una respuesta de IA debe tratarse automáticamente como contenido confiable. El hecho de que algo esté dentro de una interfaz limpia, familiar y conversacional no significa que haya sido originado por el asistente o que sea seguro hacer clic.

Para empresas, equipos de seguridad y desarrolladores, la conclusión es más amplia. El contenido recuperado desde la web debe tratarse como entrada no confiable. Si un sistema resume páginas, renderiza Markdown, auto-carga imágenes o muestra enlaces dentro de una interfaz de IA sin suficiente separación de origen, entonces puede convertirse en una nueva capa de distribución para phishing, rastreo y manipulación.

## Un problema de confianza, no solo de ciberseguridad

La promesa de los asistentes de IA es ahorrar tiempo, reducir fricción y simplificar tareas complejas. Pero justo por eso también pueden reducir señales de alerta que antes ayudaban al usuario a detectar amenazas. Y ahí está el peso real de ChatGPhish: no se trata solo de una historia de ciberseguridad, sino de una advertencia sobre cómo cambia el riesgo cuando la confianza del usuario se traslada desde la web abierta hacia una interfaz conversacional.

A medida que más personas usan IA para investigar, resumir y decidir qué enlace abrir, el diseño de esas experiencias deja de ser un detalle de producto y pasa a ser una cuestión de seguridad. Si no se separa claramente el contenido externo de la respuesta del asistente, la comodidad puede convertirse en vulnerabilidad.

## Fuentes verificadas

- Permiso: Leer Más The Hacker News: Leer Más The Register: Leer Más Cyber Security News: Leer Más