¿Confiarías en la inteligencia artificial para gestionar algo tan personal como tu correo electrónico? No se trata solo de las respuestas que pueda generar, sino de permitirle ejecutar acciones en un espacio donde almacenamos información clave de nuestra vida personal y profesional. La propuesta es tentadora: ¿por qué perder tiempo revisando mensajes uno a uno cuando puedes delegar la tarea a un agente de IA con una simple instrucción como: “Analiza mis correos de hoy y recopila toda la información sobre el proceso de contratación de nuevos empleados”?

Sobre el papel, la idea es impecable. La IA se encarga del trabajo repetitivo y tú recuperas tiempo para tareas de mayor valor.

Sin embargo, esta solución “mágica” puede convertirse en un riesgo considerable. Lo que promete eficiencia puede abrir la puerta a atacantes. Así lo demuestra una reciente investigación de Radware Cybersecurity, que expone cómo un correo electrónico cuidadosamente manipulado logró burlar las defensas de la función de Investigación en profundidad de ChatGPT, transformando la IA en una herramienta para filtrar información sensible.

Lo más preocupante es la simplicidad del ataque: no requiere hacer clic en enlaces ni descargar archivos. Basta con que el asistente procese un correo alterado para que, sin que el usuario lo note, datos confidenciales sean enviados a un servidor controlado por el atacante.

El éxito de este ataque radica en la combinación de técnicas clásicas de ingeniería social, adaptadas para engañar a la IA. Un email con instrucciones ocultas en su HTML o metadatos puede convertirse, para el agente, en una orden legítima. Así, el ataque se materializa de forma silenciosa y efectiva.

Las consecuencias van mucho más allá de un simple correo manipulado. Al tratarse de un agente con permisos para actuar sobre la bandeja de entrada, cualquier documento, factura o estrategia compartida por email puede acabar en manos de terceros sin que el usuario lo perciba. El riesgo es doble: pérdida de información confidencial y dificultad para rastrear la fuga, ya que la petición se origina desde la propia infraestructura del asistente, no desde la red de la empresa.

El hallazgo fue comunicado de forma responsable a OpenAI, que reconoció la vulnerabilidad y la corrigió rápidamente. Sin embargo, el riesgo persiste: este patrón de ataque podría repetirse en otros entornos de IA con características similares, lo que obliga a replantear la confianza y la seguridad en estos sistemas.

Vivimos un momento en el que los agentes de IA se multiplican y nos obligan a redefinir nuestra visión de la seguridad digital. Para muchos, resulta impensable un escenario como este, incluso para usuarios avanzados. No existe un antivirus capaz de protegernos de este tipo de vulnerabilidades: la clave está en comprender los riesgos y anticiparse. Lo más llamativo es que los ataques ya no se parecen a líneas de código, sino a ejercicios de persuasión en lenguaje natural.

Imágenes | Xataka con Gemini 2.5 Pro