TIC's en la Web

OpenAI entrena a su mejor hacker de IA y lo esconde: lo que GPT-Red dice de la seguridad que no tienes

OpenAI ha presentado esta semana GPT-Red, un modelo interno entrenado para atacar a sus propios sistemas de IA. Suena bien en un comunicado: la empresa entrena a un «atacante muy potente» mediante autojuego, descubre vulnerabilidades antes que los usuarios y refuerza modelos como GPT-5.6 Sol. Pero si te paras a pensarlo un momento, la historia que cuentan tiene un agujero del tamaño de un datacenter.

Según Infobae, GPT-Red ha conseguido romper prácticamente todos los modelos a los que se enfrenta, internos y de producción. OpenAI lo mantiene separado del resto para que no caiga en malas manos. Traducción: han creado una herramienta ofensiva tan efectiva que no se atreven a publicarla. Y a partir de ahí te venden que GPT-5.6 es «el conjunto de seguridad más robusto hasta la fecha». Perdona, pero yo no compro el final sin ver el proceso.

Lo que más me ha llamado la atención no es la cifra del 84 % de éxito frente al 13 % de los red teamers humanos —Semana lo recoge con detalle— sino el tipo de fallo que descubrieron: la «falsa cadena de pensamiento». Básicamente, el atacante inserta instrucciones maliciosas disfrazadas de razonamiento interno del modelo. Funcionaba en más del 95 % de los casos contra GPT-5.1 y bajó por debajo del 10 % en GPT-5.6 Sol. Bien, pero eso significa que durante meses tus prompts, tus agentes y tus integraciones convivieron con un vector de ataque que nadie había catalogado. ¿Te avisaron antes de que lo arreglaran?

OpenAI incluso dejó que GPT-Red atacara a Vendy, una máquina expendedora con IA en sus oficinas. Consiguió bajar precios, listar productos caros a 0,50 dólares y cancelar pedidos de otros clientes. Lo cuentan como prueba de eficacia; yo lo leo como demostración de que un agente conectado a sistemas reales puede ser manipulado con técnicas que el propio laboratorio no había anticipado. SiliconANGLE apunta además que GPT-Red sigue siendo débil en ataques conversacionales de varios turnos y en inyecciones basadas en imágenes. Es decir: han automatizado una parte del red teaming, no lo han resuelto. Los huecos que quedan los cubren humanos. Los mismos humanos que perdían 87 puntos porcentuales frente a la máquina.

Aquí entra la parte que me escuece como profesional del sector. Si montas un chatbot para atención al cliente, un agente que lea correos o un asistente que ejecute acciones en tu CRM, estás expuesto a prompt injection. Lo sabes. Pero la narrativa de GPT-Red refuerza una idea peligrosa: que la seguridad de la IA es problema de quien entrena el modelo base, no tuyo. OpenAI entrena defensas, publica benchmarks internos y anuncia seis veces menos fallos en sus pruebas más duras. Genial para ellos. ¿Y tu capa de aplicación? ¿Tus permisos? ¿Tu validación humana cuando el modelo «piensa» que debe hacer algo?

Decrypt recuerda que GPT-Red complementa, no sustituye, al OpenAI Red Teaming Network de expertos externos. Traducción otra vez: siguen necesitando ojos humanos porque la automatización tiene límites conocidos. Eso no aparece en los titulares de «IA vs IA». Lo que aparece es el relato de una carrera armamentística donde cada generación de atacante entrena a la siguiente generación de defensor. Suena a progreso. Suena también a que la brecha entre modelos de producción y capacidades ofensivas reales se amplía dentro de la propia casa, mientras fuera seguimos desplegando agentes con permisos amplios porque «el modelo ya es seguro».

Y está el elefante en la sala: GPT-Red no se publicará. Correcto desde el punto de vista de responsabilidad — nadie sensato quiere regalar un manual de hackeo de LLM — pero deja al resto del ecosistema en modo ciego. Las pymes, las agencias, los equipos que integran APIs de terceros no tienen acceso a ese atacante interno ni a los escenarios de prueba que OpenAI replica. Confían en una etiqueta de «más robusto que hace cuatro meses». En mi experiencia, eso no basta cuando el ataque no es un prompt obvio sino una cadena de pensamiento falsificada que el modelo interpreta como suyo.

Tampoco ayuda que el anuncio llegue empaquetado con el lanzamiento de GPT-5.6, en plena oleada de modelos de julio (Claude Sonnet 5, Grok 4.5, Kimi K3 en China). La seguridad se convierte en un diferenciador de marketing justo cuando compiten por cuota. No digo que mientan en los números; digo que te muestran el escudo y no el campo de batalla. Saber que un modelo falla un 0,05 % en un benchmark directo de OpenAI no te dice cuántas veces fallará tu flujo concreto cuando un usuario malintencionado le pase un PDF envenenado o una conversación de diez mensajes diseñada para erosionar las defensas.

Lo que deberías llevarte de GPT-Red no es tranquilidad, sino una lista de tareas. Asume que tu proveedor de IA corrige vulnerabilidades a posteriori, no que las anticipa todas. Separa permisos: un agente que puede leer no debería poder escribir en producción sin confirmación. Registra las cadenas de razonamiento cuando el modelo las exponga, y desconfía de instrucciones que aparezcan «dentro» del pensamiento. Prueba tus propios flujos con ataques adversariales, aunque sea de forma manual; no esperes a que OpenAI publique su hacker interno. Y si alguien te vende un agente «seguro porque usa GPT-5.6», pídele qué hace cuando el atacante simula ser parte del razonamiento del modelo.

OpenAI ha dado un paso serio en automatizar el red teaming. Lo reconozco. Pero venderlo como prueba de que ya puedes relajarte es, como minimo, prematuro. Han entrenado al lobo para cuidar el gallinero, han visto lo eficaz que es el lobo, han encerrado al lobo en otra habitación y te dicen que las gallinas están a salvo. Yo no cerraría el candado todavía.

Si mañana integraras un agente de IA con acceso a facturación y pedidos de tu tienda online, confiarías en que OpenAI ya probó ese escenario con algo equivalente a GPT-Red, o exigirías una auditoría propia aunque el modelo se llame GPT-5.6 Sol?

Fuentes

Salir de la versión móvil