Esta semana estaba hasta arriba de correos, así que le dije a la IA esa que ya viene integrada en tu correo que me leyera los nuevos y me dijera que era lo más urgente. En dos líneas lo tenía: se leyó todo, hasta lo que yo me salto. Muy cómodo, hasta que pensé: ¿y esto de quién se fía para decidir qué importa?
Pues el caso es que hubo alguien que le bastó con mandarle un correo a la víctima, y ni hizo falta que lo abriera: el asistente, le mandó los archivos internos de la empresa al malo.
Era Copilot de Microsoft, el que lleva medio mundo metido en el correo. Le escribieron a la víctima un correo de lo más típico, con instrucciones escondidas dentro, pero redactadas como si hablaran con una persona y no con la máquina. Justo por eso el filtro que Microsoft usaba para detectarlo, pasó de largo.
Un rato después, la víctima le pidió lo de siempre: que le echara un ojo al correo y le dijera lo importante. Y para contestar, el asistente se topó con ese correo e hizo lo que pedía: se fue a la nota interna, cogió lo más sensible que había (una venta de la empresa y catorce despidos sin anunciar) y lo sacó metido en la dirección de una imagen, de esas que se cargan solas. Nadie tuvo que tocar nada, nadie hizo click.
No hackearon a la IA, le pidieron hacer algo que hace bastante bien: obedecer. El filtro daba sensación de control, pero estaban vigilando la puerta de alante, y la de atrás más la ventana de la cocina se la abrió ella solita.
Y esto no va de Microsoft, va de cualquier ayudante al que le das acceso a todo y, de paso, la capacidad de hablar con el “exterior”.
Lo monté en mi propio ordenador y le tendí la trampa a ocho modelos, pensando que caerían lo más “tontos”. Pues cayó el modelo más grande: los pequeños desconfiaban, y el “listo” me contó una milonga mientras mandaba la info al “exterior”.