OpenAI crea GPT-Red, un modelo IA 'superhacker' para blindar sus propios sistemas frente a ataques

🕒 Publicado en Zendoric: 17 de julio de 2026 · 00:24
OpenAI ha desarrollado un modelo de lenguaje especializado en hacking, bautizado como GPT-Red, cuya función es servir de compañero de entrenamiento (sparring partner) para reforzar las defensas de sus otros modelos frente a ciberataques.
OpenAI ha desarrollado un modelo de lenguaje especializado en hacking, bautizado como GPT-Red, cuya función es servir de compañero de entrenamiento (sparring partner) para reforzar las defensas de sus otros modelos frente a ciberataques. Según la compañía, entrenar su último modelo insignia, GPT-5.6, contra los ataques de GPT-Red lo convirtió en su lanzamiento más robusto hasta la fecha.
GPT-Red automatiza una tarea de seguridad conocida como 'red-teaming', que tradicionalmente realizan equipos humanos: buscar todas las formas posibles de romper o secuestrar un sistema para poder parchear esos puntos débiles antes de publicar la versión final del software. La justificación de OpenAI es que, a medida que los modelos de lenguaje se vuelven más complejos y se usan en una variedad cada vez mayor de tareas —especialmente como agentes que interactúan con archivos, sitios web, código de terceros y otros agentes—, resulta cada vez más difícil que equipos de personas por sí solos sigan el ritmo de todos los tipos de ataque posibles. Nikhil Kandpal, investigador de OpenAI y cocreador de GPT-Red, lo resume así: 'La superficie de riesgo crece y el radio de impacto también crece'. Dylan Hunn, otro investigador de la compañía y cocreador del sistema, explica que la idea es adelantarse al problema: a medida que aparezcan modelos más capaces, ya existirá un sistema capaz de descubrir nuevos modos de ataque. Los investigadores afirman que GPT-Red ya ha encontrado tipos de ataque que no se habían observado antes.
La mayor parte del esfuerzo se centró en un tipo de ataque llamado 'prompt injection' (inyección de instrucciones), en el que un atacante desliza instrucciones ocultas a un modelo para que haga algo que sus desarrolladores o usuarios no desean, como copiar información confidencial, sabotear el código base de una empresa o generar contenido dañino o embarazoso. En teoría, estas instrucciones pueden esconderse en cualquier texto que el modelo llegue a procesar, ya sea código o el contenido de una página web.
Para construir GPT-Red, los investigadores partieron de un modelo sin entrenamiento previo como hacker y lo colocaron en un bucle de autojuego ('self-play') junto a otros modelos: el objetivo de GPT-Red era atacar a los demás modelos, mientras que el objetivo de estos era defenderse. A lo largo de muchas rondas de juego, GPT-Red fue mejorando en su capacidad de ataque y los modelos defensores fueron mejorando en su capacidad de resistencia. Este entrenamiento se desarrolló en una especie de 'dojo' diseñado por OpenAI para reproducir escenarios reales de uso de los modelos de lenguaje, como navegar por la web, leer correos electrónicos o aplicaciones de calendario, y editar código. Cuando GPT-Red detectaba un nuevo tipo de ataque, exploraba múltiples variantes para encontrar la más eficiente en cada escenario concreto. Hunn señala que, comparado con un red-teamer humano, el modelo es muy bueno para encontrar exactamente lo que funcionará, lo más efectivo, y que es extremadamente persistente a la hora de profundizar en un ataque que ha descubierto.
Uno de los hallazgos más llamativos, según OpenAI, es un tipo de inyección de instrucciones nunca antes visto que denominan 'cadena de pensamiento falsa' (fake chain of thought). La cadena de pensamiento es una especie de diario en el que un modelo va anotando y guardando resultados parciales mientras resuelve un problema. GPT-Red encontró una forma de insertar una entrada falsa en la cadena de pensamiento de otro modelo, engañándolo para que actuara sobre información falsificada como si fuera verdadera. Chris Choquette-Choo, otro investigador del equipo, lo compara con decirle a alguien que 1+1=3 y que ya lo ha verificado: el modelo simplemente acepta la afirmación y la repite como si fuera cierta.
Jessica Ji, analista sénior que investiga la seguridad de la IA en el Center for Security and Emerging Technology (CSET) de la Universidad de Georgetown, considera que el enfoque de autojuego empleado por OpenAI es acertado y que los resultados presentados son muy prometedores.
Para medir la eficacia de GPT-Red como atacante, OpenAI repitió un experimento de 2025 en el que equipos humanos de red-teaming habían intentado encontrar debilidades en una versión anterior de GPT-5. Al asignarle la misma tarea, GPT-Red resultó más eficaz que los humanos a la hora de encontrar ataques efectivos. La compañía también puso a prueba a GPT-Red contra Vendy, un agente de máquina expendedora desarrollado por Andon Labs (empresa dedicada a evaluar el desempeño de agentes de IA en tareas del mundo real). GPT-Red logró hackear a Vendy para cambiar los precios de los artículos en venta y cancelar el pedido de un cliente.
En cuanto a resultados defensivos, OpenAI afirma que, al aplicar los ataques más potentes generados por GPT-Red contra sus propios modelos, más del 90% de esos ataques funcionaron contra GPT-5 (lanzado en agosto del año anterior), mientras que menos del 23% funcionaron contra el nuevo GPT-5.6, lo que la compañía presenta como evidencia de una mejora sustancial en robustez.
GPT-Red no es perfecto: no es especialmente bueno detectando ataques que requieren una conversación de ida y vuelta entre atacante y objetivo, algo que un atacante humano manejaría sin dificultad, y todavía no destaca en el uso de imágenes, que también pueden emplearse para transmitir texto oculto en ataques de inyección de instrucciones. Por ello, OpenAI insiste en que GPT-Red complementa el trabajo de sus equipos humanos de red-teaming, ya que las personas todavía pueden encontrar ataques que el modelo pasa por alto. Una de las estrategias que está utilizando la compañía consiste en darle a GPT-Red un ataque ideado por humanos y pedirle que encuentre todas sus variantes posibles. Jessica Ji coincide en que la experiencia humana seguirá siendo muy importante, y que sería útil poder distinguir en qué casos las pruebas humanas son realmente necesarias.
Como era de esperar, OpenAI no tiene previsto publicar GPT-Red. La compañía se muestra confiada en que este 'superhacker' es más potente que cualquier modelo imitador que alguien pudiera intentar crear, y sus investigadores afirman llevar más de un año trabajando en él, respaldados por los recursos de cómputo de una de las empresas más ricas del mundo. Choquette-Choo lo resume señalando que no es algo trivial que cualquiera pueda replicar fácilmente, es decir, entrenar un superatacante siguiendo esta misma idea.
🔗 Relacionadas en Zendoric
- Anthropic descubre el 'J-space': un espacio de trabajo global oculto donde Claude piensa sin decirlo · 2026-07-08
- Meta entra en la guerra de precios de la IA agéntica: Muse Spark 1.1 llega con descuento y jaula propia · 2026-07-10
- Microsoft entrena a sus vendedores para desbancar a Claude y ChatGPT: la vertical integrada declara la guerra a sus propios socios · 2026-07-17


