El auge de la inteligencia artificial autónoma está redefiniendo la productividad empresarial, pero también abre una nueva frontera de vulnerabilidades. El caso más reciente, el llamado ShadowLeak, descubierto por Radware y corregido por OpenAI en septiembre de 2025 marca un punto de inflexión: La primera vulnerabilidad “zero-click” conocida en un agente de IA.
Cuando el ataque ocurre sin un solo clic
A diferencia del phishing tradicional, que requiere interacción del usuario, ShadowLeak demostró que un atacante puede exfiltrar datos sensibles sin ninguna acción humana.
La vulnerabilidad afectó a Deep Research, el agente de IA de OpenAI capaz de navegar la web y acceder al correo del usuario para generar informes. Según el Radware Research Blog (2025), bastaba con enviar un correo malicioso a la víctima. Si el usuario pedía a ChatGPT que “resumiera sus correos del día”, el agente procesaba el mensaje y sin que nadie hiciera clic, ejecutaba instrucciones ocultas dentro del cuerpo del correo.
El resultado: filtración automática de datos personales o internos hacia un servidor controlado por el atacante.
Es el ejemplo perfecto de un ataque zero-click: sin acción del usuario, sin señales visibles y sin forma de saber que la información ha sido comprometida.
David Aviv, CTO de Radware
El riesgo detrás de los agentes autónomos
Aunque Radware confirmó que el fallo no fue explotado activamente, el hallazgo revela un problema de diseño más amplio, los agentes de IA autónomos pueden ejecutar acciones complejas (abrir URLs, leer correos, acceder a documentos) sin intervención humana ni visibilidad.
Los investigadores Gabi Nakibly, Zvika Babo y Maor Uziel demostraron cómo el exploit se camuflaba en texto blanco sobre fondo blanco o fuentes diminutas, invisibles para el ojo humano, pero legibles para el modelo. El agente, creyendo procesar contenido legítimo, obedecía comandos encubiertos que vulneraban las salvaguardas de privacidad.
Un ataque que amplía la superficie de riesgo
El peligro no se limita al correo electrónico. El mismo vector podría aplicarse a Google Drive, Dropbox, SharePoint, GitHub o cualquier conector vinculado a la IA. Cada fuente de datos estructurada o semiestructurada puede convertirse en puerta de entrada para inyecciones de prompt.
“Desde fuera, el tráfico parece legítimo; desde dentro, el agente ejecuta acciones encubiertas que ningún sistema detecta”, advirtieron los investigadores.
La respuesta de OpenAI
OpenAI reconoció la vulnerabilidad a través de su programa de recompensas en BugCrowd el 18 de junio. La empresa confirmó la corrección del fallo a inicios de agosto y lo marcó como resuelto el 3 de septiembre de 2025 (OpenAI Security Advisory, 2025).
“Es fundamental para nosotros desarrollar nuestros modelos de forma segura. Tomamos medidas para reducir el riesgo de usos maliciosos y agradecemos a los investigadores que nos ayudan a mejorar nuestras defensas”, declaró un portavoz de OpenAI a Recorded Future News.
Lecciones clave: IA autónoma ≠ IA segura
ShadowLeak marca el inicio de una nueva era de amenazas machine-to-machine, donde las propias inteligencias artificiales pueden ser manipuladas para actuar contra su operador. La automatización sin control humano conlleva riesgos que las organizaciones deben anticipar.
Medidas recomendadas:
- Auditoría continua de conectores y permisos OAuth.
- Monitoreo de tráfico saliente en entornos con IA integrada.
- Segmentación de datos entre espacios personales, corporativos y de IA.
- Supervisión humana en tareas críticas con acceso a información sensible.
El futuro de la seguridad en la era de los agentes
A medida que los agentes inteligentes se integran en operaciones empresariales desde soporte técnico hasta análisis financiero, la ciberseguridad deberá evolucionar del control del usuario al control del modelo.
En 1999 los ingenieros evitaron el caos del Y2K. En 2025, el desafío es distinto pero igual de urgente: anticipar el próximo error lógico que comprometerá a toda una generación de sistemas basados en IA.
