Una invitación maliciosa en Google Calendar puede activar a ChatGPT para filtrar datos privados mediante conectores habilitados

Un ataque ilustrado abandona las supuestas garantías de seguridad en asistentes inteligentes conectados a servicios de Google.

Un investigador de seguridad ha demostrado cómo una invitación maliciosa en Google Calendar puede activar ChatGPT para filtrar datos privados y acceder a información sensible, como correos electrónicos, siempre y cuando los conectores de Google estén habilitados. En una publicación en X, el 12 de septiembre, Eito Miyamura explica un escenario sencillo: un atacante envía una invitación de calendario con instrucciones insertadas y espera a que la víctima interactúe con ChatGPT y le solicite realizar una acción. Cuando el asistente lee el evento manipulado, sigue las instrucciones para buscar en Gmail y extraer detalles confidenciales, logrando filtrar información personal sin que la víctima intervenga directamente.

Desde mediados de agosto, OpenAI introdujo compatibilidad nativa con conectores de Gmail, Google Calendar y Google Contacts en ChatGPT, inicialmente para usuarios Pro y posteriormente para Plus, con notas en las actualizaciones que indican que el asistente puede consultar automáticamente estas fuentes tras la autorización del usuario. Esto significa que una consulta sencilla, como «¿Qué hay en mi calendario hoy?», puede acceder directamente a los datos de la cuenta de Google sin que el usuario tenga que seleccionarlo manualmente cada vez.

La ayuda de OpenAI explica que el uso automático de estos conectores está habilitado una vez que se activan y que es posible desactivar esta función en la configuración de ChatGPT si se prefiere que el asistente acceda a las fuentes de manera manual. También señala que los conectores personalizados mediante el Protocolo de Contexto del Modelo (MCP) están destinados a desarrolladores y no son visibles para los usuarios, algo relevante en el contexto del ataque mencionado, ya que Miyamura advierte sobre el creciente ecosistema de herramientas que aprovechan estos conectores.

El análisis técnico revela que el ataque consiste en una inyección indirecta de instrucciones, en la que las órdenes maliciosas están ocultas en los datos que el asistente puede leer, en este caso, el texto del evento del calendario. La investigación demostrada en agosto muestra que agendas comprometidas pueden manipular asistentes como Google Gemini para controlar dispositivos inteligentes y filtrar información, un método documentado en diferentes informes y estudios. Sin embargo, la existencia de estos riesgos no implica que las plataformas hayan sido hackeadas, sino que la vulnerabilidad radica en la permisividad de leer contenido externo en ciertas condiciones.

La principal recomendación para mitigar estos riesgos es desactivar o desconectar los conectores de Gmail y Google Calendar en ChatGPT, y ajustar las configuraciones en Google Calendar para que solo ingresen eventos de remitentes conocidos o aceptados automáticamente. Google ofrece opciones para limitar la adición automática de invitaciones y ocultar eventos rechazados, medidas que reducen la superficie de ataque y limitan la influencia de contenido malicioso. Además, los administradores de Google Workspace pueden establecer políticas predeterminadas más seguras para toda la organización.

En conclusión, aunque no se trate de una vulnerabilidad que comprometa directamente a las plataformas, la existencia de estos mecanismos aumenta la exposición a instrucciones hostiles que pueden ser aprovechadas por actores maliciosos. La recomendación general es ser cauteloso al conectar cuentas y ajustar las configuraciones de los calendarios para impedir que desconocidos inserten elementos que puedan filtrar información confidencial o manipular al asistente de inteligencia artificial.