Cuidado si usas un chatbot de IA con voz: una canción, un podcast o un vídeo de TikTok puede robar tus datos
Cada dispositivo nuevo, abre nuevas posibilidades para los cibedelincuentes. Los chatbots de IA que usan la voz, pueden ser vulnerables.
Aunque ChatGPT y compañía empezaron como chatbots de texto, han ido incorporando el soporte de voz. Mucha gente habla con la IA, y ahora unos hackers han descubierto que eso es un problema de seguridad. Un audio inaudible para las personas escondido en una canción o un vídeo puede dar órdenes al chatbot, para robar datos personales.
Por suerte, el experimento ha sido descubierto por hackers de seguridad de China y Singapur, y no por ciberdelincuentes. Van a presentar su estudio en el Simposio del IEEE sobre Seguridad y Privacidad. De momento no hay un “antídoto” para solucionar el problema.
Los asistentes personales con voz tipo Siri o Alexa existen desde hace una década, pero lo que podían hacer era muy limitado. Ahora los chatbots con IA como ChatGPT o Gemini tienen acceso a nuestros datos y pueden manipular el móvil o PC, por eso este tipo de ataques son mucho más peligrosos.
Hackeando un chatbot con un sonido inaudible
Imagina que estás escuchando una canción que te has bajado de Internet, o viendo un vídeo en TikTok o YouTube. Sin que lo sepas, porque es inaudible, una onda de sonido introducida en la música por un ciberdelincuente, es escuchada por el chatbot de inteligencia artificial que tienes activo, porque ha sido diseñada para eso.
Este audio pirata contiene órdenes que le dicen a la IA que busque tus datos personales, u otro contenido, y se los envíe a los ciberdelincuentes. Es un hackeo sin necesidad de instalar malware, indetectable por los antivirus.
“Solo se tarda media hora en entrenar esta señal y, dado que es independiente del contexto, se puede utilizar para atacar el modelo objetivo en cualquier momento, independientemente de lo que diga el usuario”, explica el autor principal, Meng Chen, de la Universidad de Zhejiang (China), en la web de IEEE Spectrum. “Estas defensas puntuales tienen dificultades para resistir nuestro ataque porque hemos descubierto que a estos modelos les resulta muy difícil distinguir entre la intención normal del usuario y nuestro ataque adversario”.
La única condición es que los hackers tengan acceso al código de la IA, algo que hoy en día es fácil porque muchas IA de Microsoft, Mistral, Meta o DeepSeek, son de código abierto.
Microsoft ya está al tanto de la vulnerabilidad, y la ha comentado en un comunicado: “Agradecemos el trabajo de los investigadores por contribuir a una mejor comprensión de este tipo de técnicas. El estudio evalúa la resiliencia de los modelos mediante interacciones controladas y directas con el propio modelo, lo que nos ayuda a definir nuestro enfoque para desarrollar la resiliencia de los modelos. Ofrecemos a los desarrolladores herramientas y orientación que pueden utilizar para implementar capas adicionales de protección que ayuden a salvaguardar a los usuarios”.
No aclara cómo van a combatirlo, porque por ahora no hay una solución directa. La onda de voz hacker está diseñada para que la IA no la distinga de una orden de su usuario, así que es difícil de detectar.
Por ahora, si usas una IA de código abierto con acceso a tus datos, algo bastante frecuente si utilizas Ollama u OpenClaw, apaga la IA o cierra el micrófono de tu dispositivo cuando escuches música de Internet. Por si acaso...