Saltar al contenido

OpenAI entrena a GPT-Red, la IA que ataca sus propios modelos para blindarlos

OpenAI creó GPT-Red, una IA que ataca sus propios modelos para hacer a GPT-5.6 más resistente a hackeos.

por Alejandro Castillo Leone
Cybersecurity professionals working on computer systems, focusing on data protection in a dimly lit room.
Foto de Tima Miroshnichenko en Pexels

TL;DR:

  • OpenAI presentó GPT-Red, un modelo de IA que entrena para atacar a sus propios sistemas y encontrar fallas de prompt injection antes de que lleguen a producción.
  • En pruebas internas, GPT-Red logró un ataque exitoso en el 84% de los escenarios frente al 13% de los red-teamers humanos, y ayudó a que GPT-5.6 Sol tenga 6 veces menos fallas que el modelo de hace cuatro meses.
  • GPT-Red seguirá siendo una herramienta exclusivamente interna, y las cifras que lo respaldan todavía no tienen validación externa: el preprint técnico sigue pendiente.

OpenAI presentó este 15 de julio de 2026 a GPT-Red, un modelo de inteligencia artificial que la compañía entrena exclusivamente para atacar a sus propios sistemas y encontrarles fallas de seguridad antes de que lleguen a producción. La herramienta, de uso interno, se enfoca en el prompt injection: instrucciones maliciosas escondidas en un correo, una página web o un archivo que pueden hacer que un agente de IA filtre datos o ejecute una acción que nadie autorizó. OpenAI ya usó los ataques que genera GPT-Red para entrenar a GPT-5.6, el modelo que lanzó el 9 de julio, y dice que el resultado es su sistema más resistente a este tipo de ataques hasta ahora. Le importa a cualquier empresa o desarrollador que conecte agentes de IA a correos, navegadores o herramientas externas: justo ahí es donde opera un prompt injection.

El red-teaming es la práctica de seguridad que consiste en atacar deliberadamente un sistema, encontrarle las fallas antes que un atacante real, para poder corregirlas a tiempo. Normalmente lo hacen equipos humanos, pero ese proceso es lento y no escala al mismo ritmo que la capacidad de los modelos de IA: las pruebas que OpenAI usaba hasta ahora ya se quedaron cortas frente a sus modelos más recientes. GPT-Red es la respuesta de la empresa a ese cuello de botella: automatizarlo.

Los sistemas de IA cada vez interactúan con más fuentes externas (navegadores, apps conectadas, archivos locales, otras herramientas). Esas conexiones son necesarias para que un agente haga trabajo real, pero también abren más puertas para que alguien manipule su comportamiento con instrucciones escondidas.

"La superficie de riesgo crece, y el radio de impacto también crece", dice Nikhil Kandpal, investigador de OpenAI y uno de los creadores de GPT-Red.

Detrás de GPT-Red hay un método puntual: el autojuego (self-play). OpenAI tomó un modelo sin entrenamiento previo como atacante y lo puso a competir, ronda tras ronda, contra un grupo de modelos defensores dentro de un entorno diseñado para imitar tareas reales: navegar la web, leer correos, editar código. GPT-Red suma puntos cada vez que logra una falla válida, como un prompt injection exitoso. Los defensores suman puntos cuando resisten el ataque y terminan la tarea original. Y ahí está el truco: conforme los defensores mejoran, GPT-Red se ve forzado a inventar ataques cada vez más difíciles de detectar.

A diferencia de un atacante humano, GPT-Red no destaca por su creatividad sino por su insistencia: una vez que encuentra una grieta, la explora hasta agotarla antes de soltarla, según Dylan Hunn, otro de los investigadores del equipo. OpenAI entrenó a GPT-Red con la misma escala de cómputo que algunos de sus mayores proyectos de post-entrenamiento, una cantidad de recursos que la empresa nunca había dedicado únicamente a mejorar seguridad.

El modelo no sale a producción: se queda separado de ChatGPT, Codex y del resto de los sistemas que sí usan los usuarios.

Líneas de código y una red digital que representan un sistema de ciberseguridad e inteligencia artificial
Imagen ilustrativa. El red-teaming automatizado pone a prueba un sistema de IA antes de que llegue a los usuarios. · Foto de cottonbro studio en Pexels

GPT-Red gana por goleada contra los red-teamers humanos

Para medir qué tan buen atacante es, OpenAI repitió con GPT-Red un ejercicio que en 2025 hicieron equipos humanos: encontrar fallas de prompt injection indirecto en una versión anterior de GPT-5, usando un espejo interno del banco de pruebas de Dziemian et al. (2025). La diferencia fue amplia: GPT-Red logró un ataque exitoso en el 84% de los escenarios, contra apenas 13% para los humanos.

Ese mismo patrón se repite en los modelos de producción. Según OpenAI, más del 90% de los ataques más fuertes de GPT-Red funcionaban contra GPT-5, la versión que la empresa lanzó en agosto de 2025. Contra GPT-5.6, esa cifra cae a menos del 23%. En un conjunto amplio de escenarios de prueba, GPT-5.6 Sol falla ante apenas el 0.05% de los prompt injection directos de GPT-Red. Y en el benchmark más duro de prompt injection directo que usa la compañía, GPT-5.6 Sol tiene 6 veces menos fallas que el mejor modelo de producción de hace apenas cuatro meses.

GPT-5.6 llegó al público el 9 de julio como una familia de tres modelos (Sol, Terra y Luna), con Sol como la versión más capaz. FomoEra cubrió ese lanzamiento y la fusión de ChatGPT con Codex en una sola aplicación.

ChatGPT se vuelve ‘super app’ con Codex y GPT-5.6
OpenAI fusionó Codex y ChatGPT en una ‘super app’ con modelos GPT-5.6 Sol, Terra y Luna y una nueva app de escritorio

GPT-Red hackeó una máquina expendedora real

OpenAI también probó a GPT-Red contra sistemas que ya funcionan en el mundo real, no solo contra escenarios de laboratorio. El primer caso fue Vendy, un agente que administra una máquina expendedora en una oficina de OpenAI, desarrollado por Andon Labs (un experimento similar a Project Vend, de Anthropic). Después de practicar el ataque en simulación, GPT-Red lo trasladó al agente en producción y cumplió sus tres objetivos maliciosos:

  • Bajar el precio de un artículo caro hasta el mínimo permitido: 0.50 dólares.
  • Pedir un artículo nuevo de más de 100 dólares y ofrecerlo también en 0.50 dólares.
  • Cancelar el pedido de otro cliente.

OpenAI dice que ya reportó estas vulnerabilidades a Andon Labs y que hay nuevas protecciones en pruebas. En un segundo caso, la compañía usó a GPT-Red contra un agente de Codex CLI basado en GPT-5.4 mini, en 10 escenarios de fuga de datos. Frente a una versión de GPT-5.5 con instrucciones manuales, GPT-Red resultó más efectivo para lograr que el agente filtrara información sensible, y gastó menos tokens en el intento.

Un tipo de engaño que nadie había documentado antes

Entrenar a un atacante desde cero tiene una ventaja extra: encuentra cosas que nadie había buscado. Una versión temprana de GPT-Red descubrió una clase de ataque que OpenAI bautizó como "Fake Chain-of-Thought" (cadena de pensamiento falsa). El chain-of-thought es una especie de bitácora interna que un modelo usa para razonar paso a paso antes de responder. El ataque consiste en insertarle una entrada falsa a esa bitácora para que el modelo actúe sobre información que en realidad nunca verificó.

"Es como si te dijera que 1 más 1 es igual a 3 y que ya lo verificaste. El modelo reacciona como diciendo 'ah, claro, está bien', y sencillamente responde 3", explica Chris Choquette-Choo, investigador de OpenAI.

Esas fallas llegaron a funcionar en más del 95% de los casos contra GPT-5.1. Contra GPT-5.6 Sol, la tasa de éxito ya bajó a menos del 10%.

Lo que GPT-Red todavía no hace bien

GPT-Red no es infalible. OpenAI reconoce que el modelo todavía no es bueno para ataques que requieren una conversación de ida y vuelta entre atacante y objetivo, algo en lo que un humano no tendría mayor problema. Tampoco domina del todo los ataques que esconden texto malicioso dentro de imágenes, una vía cada vez más común de prompt injection.

Y hay un límite más de fondo: casi todas las cifras de este artículo salen de las propias pruebas internas de OpenAI. La compañía anunció que publicará un preprint con más detalles técnicos en los próximos días, pero, hasta entonces, nadie fuera de la empresa ha reproducido estos números de forma independiente.

⚠️
Todas las cifras de este artículo (el 84% de éxito de GPT-Red, la caída a menos de 23% de ataques exitosos contra GPT-5.6 o la tasa de fallos de apenas 0.05%) vienen de benchmarks internos de OpenAI. La compañía dijo que publicará un preprint con más detalles en los próximos días; hasta entonces no existe una validación independiente publicada de estos resultados.

Jessica Ji, analista sénior de investigación en seguridad de IA del Centro de Seguridad y Tecnologías Emergentes (CSET) de la Universidad de Georgetown, es una de las pocas voces externas que ya opinó sobre el método. Cree que el enfoque de autojuego que usó OpenAI va por buen camino, aunque insiste en que la parte humana del red-teaming no desaparece.

"Creo que la experiencia humana seguirá siendo muy importante. Sería realmente útil poder distinguir en qué casos hace más falta la prueba humana", dice Ji.

Para el desarrollador o la empresa hispanohablante que ya conecta un agente de IA a su bandeja de correo, su código o sus herramientas de trabajo (el mismo terreno que cubren ChatGPT Work y Codex, ambos parte de la familia GPT-5.6), el prompt injection no es un riesgo abstracto: es la superficie de ataque que crece con cada nuevo permiso que se le da a un agente.

Preguntas rápidas sobre GPT-Red

¿GPT-Red va a estar disponible para desarrolladores o empresas?

No. OpenAI dijo que GPT-Red se queda como herramienta exclusivamente interna, porque fue entrenado específicamente para atacar y liberarlo pondría esa capacidad ofensiva en manos equivocadas. La compañía también asegura que ningún actor externo podría replicar fácilmente un modelo así sin el mismo nivel de cómputo.

¿Qué es un ataque de prompt injection?

Es una instrucción maliciosa escondida en un correo, una página web, un archivo o la respuesta de una herramienta, diseñada para que un agente de IA haga algo que su usuario no autorizó, como filtrar datos o ejecutar una acción indebida.

¿GPT-Red ya entrenó a algún modelo público de OpenAI?

Sí. OpenAI usó los ataques generados por GPT-Red para entrenar a GPT-5.6, lanzado el 9 de julio de 2026, y dice que el resultado es 6 veces más resistente a fallas de prompt injection que su modelo anterior, según cifras que la empresa aún no valida de forma independiente.

Para cualquier empresa que ya conecta agentes de IA a su correo, su código o sus herramientas internas, el prompt injection dejó de ser un riesgo de laboratorio. GPT-Red es la apuesta de OpenAI para encontrar esas grietas antes que un atacante real lo haga. La validación que no depende de la propia OpenAI, la que llegaría con el preprint prometido, todavía está por publicarse.

Fuentes: 1, 2

Alejandro Castillo Leone imagen de perfil
por Alejandro Castillo Leone

Soy un amante del arte y la cultura. Desde el 2021 dirijo una web dedicada a la historia de mi país y he emprendido la misión de vivir para la cultura, alimentándome principalmente del ámbito Hispanoamericano.

Suscríbete GRATIS

Recibe las noticias más importantes de política, tecnología, negocios, deportes, entretenimiento y cultura directamente en tu correo.

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias

Leer más de Tecnología y Ciencia