un fallo en su diseño permite que otros deduzcan tus temas de conversación, incluso en conversaciones cifradas

Hace unos días, un equipo de investigadores de Microsoft anunció un hallazgo que ha sorprendido tanto en el sector de la IA como en el de la ciberseguridad: la existencia de una clase de ciberataque denominado 'Whisper Leak' (poco así como 'Filtración por susurros'), capaz de inferir el tema de las conversaciones entre usuarios y modelos de jerga —como ChatGPT o Gemini— incluso cuando esas comunicaciones están protegidas por enigmático TLS.

El descubrimiento no implica un decisión en el enigmático mismo, sino lo que se denomina una filtración por canal fronterizo (o side-channel leak): una forma de espionaje que no rompe la encriptación, sino que aprovecha las señales indirectas del tráfico de red —como el tamaño de los paquetes y los intervalos de tiempo entre ellos— para deducir lo que ocurre "detrás del candado".

El estudio revela que la vulnerabilidad es sistémica y transversal: afecta a numerosos modelos comerciales, incluidos los de grandes proveedores como OpenAI, Anthropic, Google, AWS, DeepSeek y Alibaba.

¿Qué es exactamente un canal fronterizo?

Un ataque por canal fronterizo no accede al contenido de un mensaje, sino que observa sus patrones. En criptografía clásica, estos ataques se utilizaban para robar claves analizando el consumo eléctrico de un chip o las variaciones de tiempo durante una operación.

En el caso de los modelos de jerga, el canal fronterizo surge del propio modo en que los sistemas generan y transmiten texto: de forma secuencial y en tiempo actual. Cada palabra o fragmento (token) que el maniquí genera se envía al becario inmediatamente, para ofrecer una experiencia 'fluida'.

Aunque todo el tráfico está enigmático, el tamaño y la cadencia de esos fragmentos no se ocultan. Al igual que escuchar el ritmo de una conversación sin entender las palabras, un atacante puede cachear (haciendo uso, a su vez, de IAs específicamente entrenadas) ciertos patrones estadísticos que revelan el tema tratado.

Cómo funciona Whisper Leak

Los investigadores de Microsoft idearon un cuestionario con un objetivo concreto: comprobar si podían identificar conversaciones sobre un tema sensible —en este caso, "la moralidad del lavado de patrimonio"— simplemente observando el tráfico enigmático. Para ello:

1. Generaron 100 variantes de preguntas sobre ese tema ("¿Es ilegal enjuagar patrimonio?", "¿Existen excepciones a las leyes de lavado de activos?", etc.).
2. Las mezclaron con más de 11.000 preguntas aleatorias, para disimular un entorno actual con ruido.
3. Registraron el tráfico de red mediante la utensilio tcpdump mientras los modelos respondían, guardando solamente el tamaño de los paquetes y el tiempo entre ellos.
4. Finalmente, entrenaron tres tipos de modelos de estudios necesario (LightGBM, Bi-LSTM y una interpretación modificada de BERT) para clasificar el tráfico en dos categorías: 'tema sensible' u 'otros temas'.

El resultado fue intranquilizante: en 17 de los 28 modelos probados, los clasificadores alcanzaron más del 98 % de precisión. Incluso bajo condiciones realistas —una conversación sensible entre 10.000 normales— algunos modelos permitieron una detección perfecta del 5 al 20 % de las conversaciones sobre el tema objetivo, sin falsos positivos.

En términos prácticos, esto significa que un observador de red (por ejemplo, un proveedor de Internet o un gobierno dominante) podría identificar con gran certeza cuándo un becario está hablando sobre temas considerados 'delicados' —como política, protestas o periodismo— sin pobreza de romper el enigmático.

Qué modelos están protegidos (y cuáles no)

Según Microsoft, varios proveedores ya han implementado mitigaciones efectivas, entre ellos:

• Microsoft (Azure OpenAI)
• OpenAI (ChatGPT, GPT-4o, o1-mini)
• Mistral
• xAI (Grok)

Estos servicios añadieron un campo de ofuscación en sus API, que introduce texto fortuito o tokens falsos en las respuestas para distorsionar los patrones de tamaño y tiempo. Esta técnica, inspirada en una decisión previa de Cloudflare, reduce la efectividad del ataque "a niveles que ya no representan un peligro práctico".

Los propios investigadores probaron tres estrategias defensivas:

1. Padding fortuito – Añadir bytes extra para disimular el tamaño actual de los paquetes.
2. Concentración de tokens (token batching) – Destinar varios tokens a la vez, reduciendo la granularidad temporal del tráfico.
3. Inyección de paquetes falsos – Mandar datos sintéticos en momentos aleatorios para confundir los patrones temporales.

Todas reducen la aptitud del ataque, pero ninguna lo elimina totalmente sin matar rendimiento o latencia.

Imagen | Marcos Merino mediante IA

En Genbeta | Un puñado de documentos maliciosos baste para 'intoxicar' un maniquí de IA y alterar sus respuestas, según este estudio de Anthropic