La inteligencia artificial (IA) está revolucionando la forma en que interactuamos con la tecnología, pero también plantea nuevos desafíos en el campo de la ciberseguridad. Un caso reciente revelado en una investigación del alemán Benjamin Flesch, a mediados de enero de 2025, destaca cómo el sistema de rastreo (crawlers) de ChatGPT puede ser utilizado para lanzar ataques de denegación de servicio (DDoS), exponiendo una vulnerabilidad severa en esta herramienta.

¿Qué es un ataque DDoS y cómo afecta a las empresas?

Un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) consiste en inundar un servidor o red con un volumen masivo de solicitudes simultáneas, haciendo que sus recursos se saturen y que así el servicio se interrumpa. Este tipo de ataque puede paralizar operaciones, comprometer la experiencia de los usuarios y causar daños económicos significativos.

La vulnerabilidad de ChatGPT: un ejemplo de explotación en la era de la IA

Benjamin Flesch descubrió que el crawler de ChatGPT podía ser explotado para realizar ataques DDoS. A través de solicitudes HTTP específicas a la API de OpenAI, era posible enviar listas de URL que el sistema rastreaba sin verificar si se repetían o pertenecían al mismo sitio web. Esto permitía amplificar un único pedido en miles de conexiones simultáneas hacia un servidor objetivo, utilizando múltiples direcciones IP para evitar bloqueos efectivos.

Esto habla de un punto importante que a menudo hay que recordar: la inteligencia artificial no deja de ser código, y como código, nunca hay que descartar la posibilidad de vulnerabilidades.

Lecciones clave: la IA también tiene vulnerabilidades

Aunque herramientas como ChatGPT son cada vez más sofisticadas, como ya dijimos no dejan de ser sistemas basados en código, lo que las hace susceptibles a errores y explotación. Por esto la importancia de realizar pruebas exhaustivas de seguridad en las aplicaciones de inteligencia artificial para evitar que sean utilizadas como vectores de ciberataques.

Impacto y respuestas

Tras la publicación de esta vulnerabilidad en plataformas como HackerNews y artículos en medios como The Register, OpenAI deshabilitó el endpoint de la API que presentaba la falla. Al momento de la publicación de este artículo, el código de prueba de concepto ya no funciona. Sin embargo, este caso sirve como un recordatorio de la importancia de implementar medidas de seguridad robustas en sistemas basados en inteligencia artificial, y de la importancia de la respuesta inmediata ante la identificación de fallas críticas.

Cómo prevenir y mitigar riesgos asociados a la IA

1. Validación del código: Implementar controles como deduplicación de entradas y límites en el tamaño de las solicitudes.
2. Pruebas de seguridad continuas: Evaluar regularmente las aplicaciones para identificar y solucionar vulnerabilidades.
3. Conciencia sobre la superficie de ataque: Las compañías deben considerar que herramientas emergentes, como los chatbots basados en IA, amplían el área expuesta a posibles ataques.

La IA como herramienta y desafío

El caso del crawler de ChatGPT demuestra que incluso las herramientas tecnológicas más avanzadas pueden tener fallas que pongan en riesgo la seguridad digital. A medida que la IA se integra más profundamente en nuestras vidas, es esencial mantener un enfoque proactivo en la seguridad, no sólo para proteger datos y operaciones, sino también para fortalecer la confianza en estas innovaciones mediante un uso seguro y consciente.

¿Querés saber más sobre cómo la inteligencia artificial está transformando la ciberseguridad? Te compartimos la grabación de nuestro último webinar sobre este tema acá 👇