Microsoft descubre una falla de’fuga de susurros’que expone chats de IA cifrados en 28 LLM

Los investigadores de Microsoft han detallado un nuevo ataque de canal lateral llamado”Whisper Leak”que puede adivinar el tema de los chats de IA cifrados, exponiendo un riesgo de privacidad fundamental en toda la industria de la IA.

En un informe, el equipo mostró cómo los patrones en el tamaño y el tiempo del tráfico de la red pueden revelar lo que los usuarios están discutiendo, incluso con TLS cifrado. La falla afecta a 28 modelos principales de IA, lo que crea un grave riesgo de privacidad para los usuarios de todo el mundo. Un observador en una red podría detectar conversaciones delicadas sobre temas legales o de salud.

Después de un proceso de divulgación que comenzó en junio, los principales proveedores como OpenAI y Microsoft comenzaron a implementar correcciones, pero el problema apunta a un riesgo central en la transmisión de IA.

Cómo Whisper Leak Escuchas furtivas en chats de IA cifrados

El ingenio del ataque radica en su capacidad de funcionar sin romper el cifrado TLS subyacente que protege las comunicaciones en línea. En su lugar, explota los metadatos que el cifrado deja inherentemente expuestos.

Según la documentación del proyecto, “Whisper Leak es un conjunto de herramientas de investigación que demuestra cómo las conversaciones cifradas y transmitidas con modelos de lenguaje grandes filtran información rápida a través del tamaño y el tiempo de los paquetes”.

El método evita la seguridad del contenido centrándose en la forma y el ritmo del flujo de datos.

Las respuestas LLM, generadas token por token, crean secuencias únicas de datos paquetes cuando se transmiten a un usuario. Cada tema, desde el análisis legal hasta la conversación informal, genera texto con vocabulario y estructuras de oraciones distintas. Estos patrones lingüísticos producen una”huella digital”característica en el tráfico de la red.

Analizando secuencias de tamaños de paquetes y tiempos entre llegadas, los investigadores crearon clasificadores para reconocer estas huellas digitales con alta precisión.

El conjunto de herramientas públicas del proyecto lo confirma método, que utiliza modelos de aprendizaje automático para aprender las firmas sutiles de diferentes tipos de conversaciones. Incluso con contenido codificado, los patrones de tráfico traicionan el tema de la conversación.

Una falla en toda la industria que afecta a 28 modelos principales de IA

Whisper Leak no es un error aislado sino una vulnerabilidad sistémica que afecta a una amplia franja de la industria de la IA. El equipo de Microsoft probó 28 LLM disponibles comercialmente y descubrió que la mayoría eran altamente susceptibles.

Para muchos modelos, el ataque logró una clasificación casi perfecta. Los investigadores señalaron en una publicación de blog:”Esto nos dice que las’huellas digitales’únicas que dejan las conversaciones sobre un tema específico son lo suficientemente distintas como para que nuestro espía impulsado por IA pueda detectarlas de manera confiable en una prueba controlada”.

Para las empresas que dependen de la IA para comunicaciones sensibles, los hallazgos representan un vector de amenaza nuevo y desafiante. La investigación demostró una precisión alarmante en condiciones realistas.

En una simulación con una proporción de 10 000 a 1 de ruido de fondo para las conversaciones objetivo, el ataque identificó temas sensibles con una precisión del 100 % para 17 de los 28 modelos, al mismo tiempo que detectaba entre el 5 % y el 20 % de todas las conversaciones objetivo.

Un adversario pasivo de la red, como un ISP, una agencia gubernamental o un atacante en una red Wi-Fi pública, podría de manera confiable identificar a los usuarios que discuten asuntos legales, financieros o de salud confidenciales.

Esta capacidad convierte los chats de IA cifrados en una fuente potencial de vigilancia específica. Como afirman los investigadores,”Esta vulnerabilidad en toda la industria plantea riesgos significativos para los usuarios bajo vigilancia de red por parte de ISP, gobiernos o adversarios locales”.

Proveedor-Modelo BERT LSTM LightGBM Mejor Ambos tamaños solo tiempo Ambos tamaños solo tiempo Ambos tamaños solo tiempo Solo mistral-grande general 98,8% 98,5% 53,1% 99,9% 100,0% 64,3% 95,8% 96,0% 59,5% 100,0% microsoft-deepseek-r1 98,6% 98,9% 46,3% 99,9% 99,9% 61,0% 94,8% 95,5% 56,8% 99,9% xai-grok-3-mini-beta 99,1% 98,8% 73,0% 99,9% 99,9% 73,2% 97,2% 97,5% 74,9% 99,9% mistral-pequeño 98,3% 97,6% 60,7% 99,9% 99,8% 65,1% 94,1% 94,3% 61,3% 99,9% groq-llama-4-maverick 99,3% 99,2% 52,9% 99,6% 99,7% 56,4% 93,6% 94,2% 60,4% 99,7% deepseek-deepseek-r1 98,8% 98,6% 46,5% 99,3% 99,4% 62,5% 96,7% 96,9% 65,4% 99,4% alibaba-qwen2.5-plus 98,0% 97,7% 66,3% 99,1% 99,0% 63,5% 97,1% 97,3% 67,4% 99,1% xai-grok-2 99,0% 98,8% 66,9% 98,5% 98,7% 70,1% 93,2% 94,9% 72,9% 99,0% alibaba-qwen2.5-turbo 97,2% 96,8% 71,9% 97,5% 97,6% 71,8% 99,0% 98,9% 71,2% 99,0% openai-o1-mini 97,8% 98,0% 58,7% 98,9% 98,9% 62,1% 97,0% 96,9% 64,6% 98,9% openai-gpt-4o-mini 97,5% 97,8% 76,7% 98,2% 98,3% 75,4% 98,6% 98,6% 72,6% 98,6% deepseek-deepseek-v3-chat 98,3% 98,0% 58,6% 98,1% 98,1% 59,7% 97,6% 97,6% 60,6% 98,3% openai-gpt-4.1-mini 96,8% 96,6% 78,5% 97,3% 98,0% 77,6% 97,4% 97,3% 76,3% 98,0% lambda-llama-3.1-8b-instruir 96,8% 97,5% 59,9% 76,3% 97,8% 68,3% 91,9% 92,5% 59,6% 97,8% lambda-llama-3.1-405b 97,7% 97,5% 62,6% 93,2% 96,6% 66,8% 95,5% 95,6% 62,0% 97,7% groq-llama-4-scout 97,6% 97,3% 60,3% 68,5% 70,0% 64,8% 89,0% 89,6% 57,4% 97,6% openai-gpt-4.1-nano 96,1% 96,8% 77,8% 97,1% 97,1% 75,5% 96,2% 96,4% 77,1% 97,1% microsoft-gpt-4o-mini 93,4% 93,2% 77,8% 88,5% 81,3% 81,8% 91,3% 91,5% 77,2% 93,4% antrópico-claude-3-haiku 90,2% 76,8% 78,7% 91,2% 80,1% 80,0% 87,9% 74,5% 77,9% 91,2% microsoft-gpt-4.1-nano 89,5% 91,0% 84,0% 88,1% 82,4% 85,4% 86,6% 86,9% 80,5% 91,0% microsoft-gpt-4o 89,9% 90,1% 78,0% 87,2% 81,4% 83,0% 87,3% 87,9% 77,7% 90,1% microsoft-gpt-4.1-mini 89,7% 89,4% 75,4% 86,7% 80,4% 78,9% 86,6% 87,3% 76,0% 89,7% google-gemini-2.5-pro 77,1% 74,3% 78,1% 83,1% 76,3% 82,4% 84,0% 78,5% 83,4% 84,0% google-gemini-1.5-flash 81,0% 76,2% 80,2% 82,4% 78,3% 81,6% 83,5% 81,6% 82,8% 83,5% google-gemini-1.5-linterna 79,9% 74,6% 79,4% 79,7% 75,5% 79,0% 81,9% 77,8% 81,4% 81,9% amazon-nova-pro-v1 46,2% 57,9% 46,6% 77,5% 74,9% 57,3% 60,9% 60,6% 57,6% 77,5% microsoft-phi-3.5-mini-moe-instruct 70,0% 70,0% 75,3% 75,3% 72,1% 76,9% 75,9% 72,5% 74,4% 76,9% amazon-nova-lite-v1 67,6% 68,3% 63,2% 71,2% 70,5% 67,7% 65,8% 65,5% 65,1% 71,2% Promedio 96,8% 96,8% 70,9% 93,2% 97,1% 71,8% 92,5% 93,3% 69,7% nan%

Rendimiento de ataque (AUPRC) en los LLM objetivo alojados por los proveedores y conjuntos de características especificados y arquitectura del modelo de ataque. Los números más altos corresponden a una mayor efectividad del ataque del canal lateral. Las métricas se calculan como una mediana de 5 ensayos, donde se realiza una división aleatoria por ensayo. La columna”Mejor”también es la mediana de las cinco mejores pruebas de los modelos y conjuntos de características utilizados. (Fuente: Microsoft)

Una solución difícil: mitigación y respuestas inconsistentes de los proveedores

Microsoft inició un proceso de divulgación responsable en junio de 2025, notificando a los 28 proveedores afectados. Hasta noviembre, las respuestas han sido mixtas.

Si bien proveedores como OpenAI, Microsoft, Mistral y xAI tomaron medidas para corregir la falla, el informe señala que otros proveedores se negaron a implementar correcciones o no respondieron.

Este incidente resalta una inconsistencia preocupante en la forma en que la industria maneja las nuevas amenazas nativas de la IA. Esto sigue a la negativa de Google en octubre a corregir una falla crítica de”contrabando de ASCII”en sus modelos Gemini, que clasificó como un problema de ingeniería social en lugar de un error de seguridad.

También se hace eco de una reciente vulnerabilidad de filtración de datos en Claude de Anthropic, donde la compañía inicialmente desestimó el informe antes de reconocer un”error en el proceso”.

Como señaló el investigador de seguridad Johann Rehberger en ese caso,”la seguridad te protege”. de accidentes. La seguridad te protege de los adversarios.”La distinción es fundamental a medida que los agentes de IA se vuelven más autónomos y se integran con datos confidenciales.

Reparar las fugas de metadatos no es sencillo. Los investigadores evaluaron varias mitigaciones, cada una con importantes compensaciones. El relleno de datos aleatorio, que ahora implementan algunos proveedores, agrega ruido a los tamaños de los paquetes, pero solo reduce parcialmente el éxito del ataque.

Otra estrategia, el procesamiento por lotes de tokens, agrupa varios tokens antes de enviarlos, oscureciendo los patrones individuales. Si bien es efectivo en lotes de mayor tamaño, esto puede degradar la sensación de respuesta en tiempo real de un chatbot, lo que afecta la experiencia del usuario.

Una tercera opción, inyectar paquetes de”ruido”sintéticos, también puede ofuscar los patrones de tráfico. Sin embargo, este enfoque aumenta la sobrecarga del ancho de banda, una consideración de costo significativa para los proveedores.

El episodio muestra que a medida que la IA se integra más en flujos de trabajo sensibles, proteger la privacidad del usuario requiere mirar más allá del cifrado de contenido para proteger los propios patrones de comunicación digital.