{"id":28839,"date":"2025-12-24T08:48:31","date_gmt":"2025-12-24T14:48:31","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28839"},"modified":"2025-12-24T08:48:31","modified_gmt":"2025-12-24T14:48:31","slug":"chatbot-eavesdropping-whisper-leak-protection","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/chatbot-eavesdropping-whisper-leak-protection\/28839\/","title":{"rendered":"C\u00f3mo escuchar de manera clandestina una red neuronal"},"content":{"rendered":"

Las personas conf\u00edan a las redes neuronales sus asuntos m\u00e1s importantes, incluso \u00edntimos: verificar diagn\u00f3sticos m\u00e9dicos, buscar consejos amorosos o recurrir a la IA en lugar de un psicoterapeuta<\/a>. Ya se conocen casos de planificaci\u00f3n de suicidio<\/a>, ataques en el mundo real<\/a> y otros actos peligrosos facilitados por los LLM.\u00a0 En consecuencia, los chats privados entre humanos y la IA est\u00e1n atrayendo cada vez m\u00e1s la atenci\u00f3n de las autoridades gubernamentales, las empresas y las personas curiosas.<\/p>\n

Por lo tanto, no habr\u00e1 escasez de personas dispuestas a implementar el ataque Whisper Leak en la pr\u00e1ctica. Despu\u00e9s de todo, permite determinar el tema general de una conversaci\u00f3n con una red neuronal sin interferir con el tr\u00e1fico de ninguna manera, simplemente analizando los patrones de tiempo de env\u00edo y recepci\u00f3n de paquetes de datos cifrados a trav\u00e9s de la red al servidor de IA. Sin embargo, a\u00fan puedes mantener la privacidad de tus chats. A continuaci\u00f3n, te brindamos m\u00e1s informaci\u00f3n.<\/p>\n

C\u00f3mo funciona el ataque Whisper Leak<\/h2>\n

Todos los modelos de lenguaje generan su salida de forma progresiva. Para el usuario, esto parece como si una persona del otro lado estuviera escribiendo palabra por palabra. Sin embargo, en realidad, los modelos de lenguaje no funcionan con caracteres individuales o palabras, sino con tokens, una especie de unidad sem\u00e1ntica para los LLM, y la respuesta de la IA aparece en la pantalla a medida que se generan estos tokens. Este modo de salida se conoce como \u201ctransmisi\u00f3n\u201d y resulta que puede inferir el tema de la conversaci\u00f3n midiendo las caracter\u00edsticas de la transmisi\u00f3n. Anteriormente abordamos un esfuerzo de investigaci\u00f3n<\/a> que logr\u00f3 reconstruir con bastante exactitud el texto de un chat con un bot al analizar la longitud de cada token que se envi\u00f3.<\/p>\n

Los investigadores de Microsoft llevaron esto m\u00e1s all\u00e1 al analizar las caracter\u00edsticas de respuesta<\/a> de 30 modelos de IA diferentes a 11\u00a0800 indicaciones. Se utilizaron cien indicaciones: variaciones de la pregunta \u201c\u00bfEs legal el blanqueo de dinero?\u201d, mientras que el resto fueron aleatorias y abordaban temas completamente diferentes.<\/p>\n

Al comparar el retraso en la respuesta del servidor, el tama\u00f1o del paquete y el recuento total de paquetes, los investigadores pudieron separar con mucha exactitud las consultas \u201cpeligrosas\u201d de las \u201cnormales\u201d. Tambi\u00e9n utilizaron redes neuronales para el an\u00e1lisis, aunque no LLM. Dependiendo del modelo que se est\u00e9 estudiando, la exactitud de la identificaci\u00f3n de temas \u201cpeligrosos\u201d oscil\u00f3 entre el 71\u00a0% y el 100\u00a0%, con una exactitud superior al 97\u00a0% para 19 de los 30 modelos.<\/p>\n

Luego, los investigadores realizaron un experimento m\u00e1s complejo y realista. Probaron un conjunto de datos de 10\u00a0000 conversaciones aleatorias, donde solo una se centr\u00f3 en el tema escogido.<\/p>\n

Los resultados fueron m\u00e1s variados, pero el ataque simulado result\u00f3 bastante exitoso. Para modelos como Deepseek-r1, Groq-llama-4, gpt-4o-mini, xai-grok-2 y -3, as\u00ed como Mistral-small y Mistral-large, los investigadores pudieron detectar la se\u00f1al en el ruido en el 50\u00a0% de sus experimentos, con cero falsos positivos.<\/p>\n

Para Alibaba-Qwen2.5, Lambda-llama-3.1, gpt-4.1, gpt-o1-mini, Groq-llama-4 y Deepseek-v3-chat, la tasa de \u00e9xito de detecci\u00f3n se redujo al 20\u00a0%, aunque a\u00fan sin falsos positivos. Mientras tanto, para Gemini 2.5 pro, Anthropic-Claude-3-haiku y gpt-4o-mini, la detecci\u00f3n de chats \u201cpeligrosos\u201d en los servidores de Microsoft solo fue exitosa en el 5\u00a0% de los casos. La tasa de \u00e9xito para otros modelos probados fue a\u00fan menor.<\/p>\n

Un punto clave a considerar es que los resultados dependen no solo del modelo de IA espec\u00edfico, sino tambi\u00e9n de la configuraci\u00f3n del servidor en el que se est\u00e1 ejecutando. Por lo tanto, el mismo modelo de OpenAI puede mostrar diferentes resultados en la infraestructura de Microsoft frente a los propios servidores de OpenAI. Lo mismo ocurre con todos los modelos de c\u00f3digo abierto.<\/p>\n

Implicaciones pr\u00e1cticas: \u00bfqu\u00e9 se necesita para que el ataque Whisper Leak funcione?<\/h2>\n

Si un atacante con buenos recursos tiene acceso al tr\u00e1fico de red de sus v\u00edctimas, por ejemplo, controlando un enrutador en un ISP o dentro de una organizaci\u00f3n, puede detectar un porcentaje significativo de conversaciones sobre temas de inter\u00e9s simplemente midiendo el tr\u00e1fico enviado a los servidores de asistentes de IA, todo ello manteniendo una tasa de error muy baja. Sin embargo, esto no equivale a la detecci\u00f3n autom\u00e1tica de cualquier posible tema de conversaci\u00f3n. El atacante primero debe entrenar sus sistemas de detecci\u00f3n sobre temas espec\u00edficos; el modelo solo identificar\u00e1 esos temas.<\/p>\n

Esta amenaza no puede descartarse como puramente te\u00f3rica. Los organismos encargados de hacer cumplir la ley podr\u00edan, por ejemplo, supervisar las consultas relacionadas con la fabricaci\u00f3n de armas o drogas, mientras que las empresas podr\u00edan rastrear las consultas de b\u00fasqueda de empleo de los empleados. Sin embargo, el uso de esta tecnolog\u00eda para realizar una vigilancia masiva en cientos o miles de temas no es factible, ya que requiere demasiados recursos.<\/p>\n

En respuesta a la investigaci\u00f3n, algunos servicios de IA populares han modificado los algoritmos de sus servidores para hacer que este ataque sea m\u00e1s dif\u00edcil de ejecutar.<\/p>\n

C\u00f3mo protegerse del ataque Whisper Leak<\/h2>\n

La responsabilidad principal de la defensa contra este ataque recae en los proveedores de modelos de IA. Necesitan enviar el texto generado de una manera que evite que el tema se pueda distinguir de los patrones de generaci\u00f3n de tokens. Siguiendo la investigaci\u00f3n de Microsoft, empresas como OpenAI, Mistral, Microsoft Azure y xAI informaron que estaban abordando la amenaza. Ahora a\u00f1aden una peque\u00f1a cantidad de relleno invisible a los paquetes enviados por la red neuronal, lo que interrumpe los algoritmos de Whisper Leak. En particular, los modelos de Anthropic eran intr\u00ednsecamente menos susceptibles a este ataque desde el principio.<\/p>\n

Si est\u00e1s utilizando un modelo y servidores para los que Whisper Leak sigue siendo una preocupaci\u00f3n, puedes cambiar a un proveedor menos vulnerable o adoptar precauciones adicionales. Estas medidas tambi\u00e9n son relevantes para cualquiera que busque protegerse contra futuros ataques de este tipo:<\/p>\n