Creías que tu chatbot era seguro: este fallo permite reconstruir tus conversaciones cifradas

Un grupo de investigadores de Microsoft ha identificado un ciberataque que pone en jaque la privacidad de tus chats con modelos como ChatGPT o Gemini. Lo han bautizado como Whisper Leak y permite inferir el tema de la conversación aunque el tráfico vaya cifrado con TLS.

El truco no pasa por romper el cifrado. Whisper Leak explota un canal lateral: observa el tamaño de los paquetes y los intervalos de tiempo entre ellos, sin leer el contenido. ¿Por qué funciona? Porque estos modelos generan texto de forma secuencial y en tiempo real, enviando cada fragmento a tu navegador o a tu móvil nada más producirse. La “música” del tráfico queda a la vista, y ahí empieza el problema.

No hablamos de un fallo puntual. La vulnerabilidad es sistémica y salpica a grandes proveedores: OpenAI, Anthropic, Google, AWS, DeepSeek y Alibaba. Un observador de red —desde tu proveedor de Internet hasta un gobierno autoritario— puede saber con alta probabilidad si tratas temas delicados, como política, protestas o periodismo. No ve lo que dices, pero sí que el patrón encaja con esa temática.

¿Hasta dónde llega? El equipo creó 100 variantes de preguntas sobre “la legalidad del lavado de dinero” y las mezcló con más de 11.000 preguntas aleatorias. Capturaron el tráfico con tcpdump, registrando solo tamaños e intervalos, y entrenaron tres clasificadores (LightGBM, Bi‑LSTM y una BERT modificada).

En 17 de 28 modelos superaron el 98% de precisión para detectar si la conversación iba del tema sensible. Bajo condiciones realistas, llegaron a una detección perfecta del 5%‑20% de las charlas sobre el objetivo, sin falsos positivos, incluso con otras 10.000 conversaciones normales de fondo.

Esto recuerda a la criptografía clásica: los canales laterales ya se han usado para robar claves midiendo consumo eléctrico o tiempos de ejecución. TLS 1.3 se estandarizó en 2018 y protege el contenido, pero no oculta ni el tamaño ni la cadencia. En modelos de lenguaje, la emisión token a token deja una huella rítmica que un algoritmo entrenado puede reconocer. Queda margen para mitigar sin tirar de parches improvisados.

Qué es Whisper Leak y cómo revela tus temas en chats cifrados

Piensa en tu chat como en un goteo constante de palabras. Whisper Leak “no lee” el agua, escucha el ritmo del goteo y su intensidad. Como los modelos envían tokens uno a uno, el patrón estadístico del tráfico se parece más a ciertas conversaciones que a otras.

Hay respuesta por parte de la industria. Microsoft (Azure OpenAI), OpenAI (ChatGPT, GPT‑4o, o1‑mini), Mistral y xAI (Grok) han introducido campos de ofuscación en las API que inyectan texto aleatorio o tokens falsos. La idea, inspirada en una solución previa de Cloudflare, es distorsionar los patrones de tamaño y temporización hasta bajar la eficacia del ataque a niveles seguros. “No miramos el contenido, solo el pulso del tráfico”, explican los autores para subrayar dónde actúan las defensas.

Los investigadores probaron, además, tres estrategias defensivas: padding aleatorio para camuflar el tamaño real, agrupar tokens para enviarlos en bloque, y inyectar paquetes falsos en momentos aleatorios. Todas ayudan, y en conjunto levantan el listón. Ninguna lo elimina del todo sin un peaje en rendimiento o en latencia. Si pides más camuflaje, el sistema responde más lento y el coste puede subir.

Whisper Leak destapa una exposición transversal y persistente en sistemas de IA que conversan por red. Varias plataformas ya han movido ficha, y veremos más ajustes técnicos en los próximos meses. Si notas respuestas ultrarrápidas y muy “limpias” en cadencia, la huella puede seguir ahí. Con ofuscación bien diseñada, el riesgo baja a un plano práctico manejable para la mayoría de usos.