Los atacantes pueden explotar una característica recientemente introducida en ChatGPT que le permite conectarse con aplicaciones de datos personales para exfiltrar información privada de la cuenta de correo electrónico de un usuario.
El ataque solo requiere la dirección de correo electrónico de la víctima y aprovecha una invitación de calendario malicioso para secuestrar al agente de IA.
El miércoles, OpenAI anunció que ChatGPT comenzaría a admitir herramientas del Protocolo de contexto del Modelo (MCP), una innovación de Antherai diseñada para permitir que los agentes de IA se conecten y lean datos de las aplicaciones personales de un usuario.
Esto incluye servicios ampliamente utilizados como Gmail, Google Calendar, SharePoint y noción. Si bien esta integración está diseñada para mejorar la productividad, introduce una vulnerabilidad de seguridad significativa enraizada en la naturaleza fundamental de los agentes de IA.
Estos modelos están diseñados para seguir los comandos con precisión, pero carecen del juicio de sentido común para distinguir entre una solicitud de usuario legítima y un mensaje malicioso e inyectado.
Esto los hace susceptibles a los ataques que pueden convertir la IA contra el usuario al que se supone que debe ayudar.
Invitación por correo electrónico armado
Eito Miyamura demostró un método simple pero efectivo para explotar esta integración. El ataque comienza cuando un actor de amenaza envía una invitación de calendario especialmente elaborada a la dirección de correo electrónico de una víctima.
Tenemos chatgpt para filtrar sus datos de correo electrónico privado 💀💀
¿Todo lo que necesitas? La dirección de correo electrónico de la víctima. ⛓️💥🚩📧
El miércoles, @Openai Se agregó el soporte completo para las herramientas MCP (protocolo de contexto del modelo) en ChatGPT. Permitir que ChatGPT se conecte y lea su Gmail, Calendario, SharePoint, noción, … pic.twitter.com/e5vuhzp2u2
– Eito Miyamura | 🇯🇵🇬🇧 (@eito_miyamura) 12 de septiembre de 2025
Esta invitación contiene un indicador oculto de “jailbreak” diseñado para dar al atacante control sobre la sesión de chatgpt de la víctima. La víctima ni siquiera necesita ver o aceptar la invitación para que el ataque continúe.
El siguiente paso se basa en una acción de usuario común: pedirle a ChatGPT que ayude a prepararse para su día revisando su calendario. Cuando la IA escanea el calendario, lee los datos de la invitación maliciosa.
Luego se ejecuta el aviso de jailbreak, secuestrando efectivamente la IA. Ahora bajo el control del atacante, ChatGPT sigue los comandos integrados, que pueden instruirlo a buscar en los correos electrónicos privados de la víctima información confidencial y exfiltrar esos datos a una dirección de correo electrónico especificada por el atacante.
Por ahora, OpenAI ha limitado la función MCP a un “modo de desarrollador” e implementó una salvaguardia que requiere la aprobación manual del usuario para cada sesión.
Sin embargo, esto se basa en la vigilancia del usuario, que a menudo se ve socavada por un fenómeno psicológico conocido como fatiga de decisión. En la práctica, es probable que los usuarios se acostumbren a las indicaciones de aprobación y hará clic repetidamente en “aprobar” sin comprender completamente los permisos que otorgan.
La integración de estas herramientas con datos personales confidenciales plantea un riesgo de seguridad grave que requiere salvaguardas más sólidas que las simples aprobaciones de los usuarios.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
