Recomendado

Depósito cripto Realice transferencias instantáneas de criptomonedas a su cuenta de futuros
Futuros perpetuos USDT-M Opere con contratos de futuros liquidados en USDT
Descuentos de tasas VIP Disfrute de diferentes descuentos sobre las tasas en función de su nivel VIP
Futuros perpetuos COIN-M Opere con contratos de futuros liquidados en criptomonedas
Depósito fiat Compre sus monedas favoritas en segundos
Afiliados Invite a sus amigos y obtenga recompensas
Convertir Convierta criptomonedas al instante
Centro de soporte Aquí podrá encontrar las preguntas más frecuentes (FAQ)
Anuncios Consulte todos nuestros comunicados y avisos oficiales
BTCC Academy Aprenda sobre blockchain y criptomonedas
Noticias Las últimas tendencias del mercado de criptomonedas

Promociones

Recomendación
Campañas
registrarme
BTCC / BTCC Square / CryptopolitanES /
¡Alerta de seguridad! Investigador expone grave vulnerabilidad SSRF en GPT personalizado de ChatGPT

¡Alerta de seguridad! Investigador expone grave vulnerabilidad SSRF en GPT personalizado de ChatGPT

Author:
CryptopolitanES
Published:
2025-11-13 10:14:50

Un fallo crítico en el sistema de inteligencia artificial de OpenAI podría dejar expuestos datos sensibles. El descubrimiento llega justo cuando las acciones de la compañía rozan máximos históricos—clásico timing de Wall Street.

¿Cómo funciona el exploit?

El ataque SSRF (Server-Side Request Forgery) permite saltarse las restricciones de seguridad del modelo GPT personalizado. Los atacantes podrían acceder a información interna de los servidores de OpenAI.

Las implicaciones:

Desde robos de datos hasta ejecución remota de código—todo está sobre la mesa. Y mientras los ingenieros corren para parchear el agujero, los inversores siguen bombeando el valor de la compañía como si nada. ¿Prioridades? Las justas.

La vulnerabilidad SSRF podría hacer que las GPT personalizadas sean inseguras. 

Como explicó Jenkins en su artículo de Medium publicado a principios de esta semana, la falsificación de solicitudes del lado del servidor (SSRF) es una vulnerabilidad web que engaña a las aplicaciones para que realicen solicitudes a destinos no deseados. Si la aplicación no valida correctamente las URL proporcionadas por el usuario, los atacantes pueden usar los privilegios de acceso del servidor para acceder a redes internas o servicios de metadatos en la nube.

Gráfico SSRF básico de lectura completa. Fuente: Blog de SirLeeroyJenkins en Medium.

La vulnerabilidad SSRF tuvo la suficiente prevalencia como para figurar en la lista OWASP Top 10 en 2021 y ahora ha ampliado su daño potencial debido a que las configuraciones predeterminadas inseguras en entornos de nube pueden exponer sistemas críticos.

Jenkins explicó que existen dos tipos principales de SSRF: lectura completa y ciega. El SSRF de lectura completa devuelve datos del servicio objetivo directamente al atacante. Por otro lado, el SSRF ciego no revela la respuesta, pero aun así permite interactuar con servicios internos, por ejemplo, mediante escaneo de puertos basado en temporización.

Probó la vulnerabilidad dirigiendo la URL de la API al Servicio de Metadatos de Instancia (IMDS) de Azure, que almacena credenciales confidenciales en la nube dent El acceso a este servicio normalmente requiere el Metadata: True , por lo que se alarmó cuando sus intentos iniciales no pudieron proporcionar el encabezado solicitado.

La función GPT personalizada bloqueó inicialmente la vulnerabilidad porque requería URL HTTPS, mientras que Azure IMDS opera sobre HTTP. Mediante una redirección 302 desde un punto de conexión HTTPS externo a la URL de metadatos interna, el servidor siguió la redirección. Sin embargo, Azure bloqueó el acceso sin el encabezado requerido.

“Dado que el servidor siguió las redirecciones 302, devolvió la respuesta de su URL interna de metadatos. Misión cumplida, ¿verdad? Error. La respuesta de su servicio de metadatos indicó que no se estaba configurando una cabecera obligatoria”, señaló SirLeeroyJenkins.

Tras seguir analizando las respuestas, la función permitía claves API personalizadas con nombres arbitrarios. Intentó nombrar una clave «Metadata» con el valor «true» , insertando la cabecera necesaria para otorgar al GPT acceso al servicio de metadatos.

Jenkins informó rápidamente de la vulnerabilidad al programa Bugcrowd de OpenAI, y al problema se le asignó una alta gravedad y posteriormente se solucionó.

También mencionó que Open Security ya había utilizado este tipo de cadena de ataque SSRF para explotar una vulnerabilidad en la generación de facturas de una importante empresa financiera global para realizar auditorías de seguridad.

OpenAI lanza GPT-5.1 tras la polémica de la versión 5.0.

En otras noticias relacionadas con ChatGPT, OpenAI anunció el lanzamiento de GPT-5.1, destacando varias actualizaciones realizadas desde la versión 5.0 para mejorar el seguimiento de instrucciones y el razonamiento adaptativo.

“¡GPT-5.1 ya está disponible! Es una buena actualización. Me gustan especialmente las mejoras en el seguimiento de instrucciones y el pensamiento adaptativo. Las mejoras en inteligencia y estilo también son buenas”, escribió el CEO Sam Altman en X el miércoles por la noche.

El analista tecnológico Mehul Gupta comparó GPT-5.1 con su predecesor y observó que GPT-5 , si bien era una versión pulida y útil, a veces complicaba en exceso tareas sencillas. La versión instantánea de GPT-5.1, supuestamente, ofrecía una mejor comprensión y pausas adaptativas sutiles que proporcionaban respuestas más contextualizadas.

En una prueba, Gupta pidió a ambos modelos que respondieran en seis palabras. GPT-5 intentó dar una explicación demasiado extensa, mientras que GPT-5.1 ofreció una respuesta concisa y correcta. 

Altman también anunció que se han añadido 7 nuevos preajustes, incluidos Default, Friendly, Efficient, Professional, Candid y Quirky, pero los usuarios pueden optar por "ajustarlos ellos mismos".

Si estás leyendo esto, ya estás al tanto. Sigue leyendo nuestro boletín .

|Square

Descárguese la aplicación BTCC para empezar su trayectoria cripto

Download on the App Store GEI IT ON Google Play

Empiece hoy mismo Escanéelo y únase a más de 100 millones de usuarios

Exchange for a better future

Productos
Servicios
Guías
Sobre nosotros
Términos y acuerdo de servicio
Servicio de atención al cliente
Redes sociales

Advertencia de riesgo: El comercio de activos digitales es una industria emergente con brillantes perspectivas de futuro, pero también trae aparejada grandes riesgos, ya que se trata de un mercado totalmente nuevo. Este riesgo es especialmente alto al realizar operaciones con apalancamiento, ya que el apalancamiento magnifica los beneficios pero, al mismo tiempo, también amplifica los riesgos. Antes de abrir una posición de inversión, asegúrese de conocer bien la industria, los modelos de trading con apalancamiento y las reglas de trading. Además, también le recomendamos encarecidamente que determine cuál es su tolerancia personal al riesgo y que solo corra los riesgos que esté dispuesto a asumir. Toda inversión u operación conlleva riesgos. Por lo tanto, debe ser prudente al entrar en el mercado.

El intercambio de criptomonedas más antiguo del mundo desde 2011. © 2011 - 2025 BTCC.com. All rights reserved