Sam Altman genera expectativas desmedidas sobre GPT-5: críticas por rendimiento y personalidad

Introducción

El reciente lanzamiento de GPT-5 por parte de OpenAI, precedido por una campaña de expectación impulsada por el propio CEO Sam Altman, ha generado una ola de reacciones encontradas en la comunidad profesional de ciberseguridad y tecnología. Aunque se anticipaba un salto cualitativo en capacidades y prestaciones, el nuevo modelo ha dejado insatisfechos a múltiples usuarios avanzados debido a su rendimiento percibido y a cambios en su comportamiento conversacional. Este artículo analiza en profundidad las críticas técnicas, los riesgos potenciales y las implicaciones para entornos empresariales y de seguridad.

Contexto del Incidente o Vulnerabilidad

La presentación de GPT-5 fue precedida por declaraciones públicas de Altman que sugerían importantes avances respecto a su predecesor, GPT-4o. Sin embargo, tras su despliegue, numerosos usuarios han reportado que el modelo no solo no supera las capacidades de GPT-4o en tareas críticas (análisis de amenazas, generación de código, soporte a pentesting, etc.), sino que introduce una personalidad distinta que afecta negativamente a la experiencia de uso profesional.

Además, la decisión de OpenAI de restringir el acceso a GPT-4o a los usuarios de pago (Plus plan) ha generado controversia, especialmente entre equipos SOC, analistas y consultores que dependían de sus funcionalidades para flujos de trabajo ágiles.

Detalles Técnicos

Aunque OpenAI no ha publicado un CVE específico asociado a GPT-5, desde el punto de vista de seguridad, la introducción de un nuevo modelo de lenguaje con personalidad y respuestas alteradas puede considerarse una superficie de ataque indirecta. Algunas preocupaciones técnicas destacadas incluyen:

– **Vectores de ataque potenciales**: Cambios en la personalidad y en la estructura de las respuestas pueden impactar en la generación de prompts para herramientas automáticas de red teaming, fuzzing y generación de exploits (por ejemplo, integración con frameworks como Metasploit o Cobalt Strike).
– **TTPs MITRE ATT&CK**: Si el modelo responde de manera menos precisa o con menor profundidad técnica, puede degradar la calidad de los informes de threat intelligence y limitar la automatización en técnicas como Reconnaissance (TA0043), Resource Development (TA0042) y Collection (TA0009).
– **Indicadores de compromiso (IoC)**: No se han detectado IoC directos asociados al despliegue de GPT-5, pero sí un descenso en la eficacia de generación de queries para la detección de amenazas en SIEMs y EDRs, según reportes de usuarios en foros especializados.
– **Versiones afectadas**: GPT-5 es la versión que introduce estos cambios, mientras que GPT-4o sigue disponible únicamente para suscriptores de pago.
– **Exploits conocidos**: Hasta el momento, no se han documentado exploits específicos que afecten a GPT-5, pero la menor capacidad de respuesta puede facilitar la manipulación de prompts para evadir controles de moderación o detección de contenido malicioso.

Impacto y Riesgos

El principal impacto reside en la degradación de la experiencia profesional para usuarios avanzados. Equipos de ciberseguridad, investigadores y desarrolladores han reportado:

– Pérdida de granularidad en la generación de scripts y código para pruebas de penetración.
– Respuestas menos precisas o excesivamente “humanizadas”, que dificultan la extracción de información técnica relevante.
– Potencial aumento del riesgo de ingeniería social, si el modelo es más propenso a respuestas emocionales o menos rigurosas.
– Dependencia forzada del plan Plus para mantener el acceso a GPT-4o, con implicaciones económicas directas (coste anual estimado de 264 USD por usuario profesional).

Medidas de Mitigación y Recomendaciones

Para equipos y profesionales que dependan de la fiabilidad y neutralidad técnica de los modelos de lenguaje, se recomiendan las siguientes acciones:

– Migrar temporalmente a GPT-4o mediante la suscripción al plan Plus si la precisión es crítica para operaciones SOC, análisis forense o desarrollo seguro.
– Evaluar modelos alternativos open source (Llama 3, Falcon, Mistral) para tareas que requieran mayor control y trazabilidad.
– Implementar políticas de validación cruzada de respuestas generadas por IA antes de integrarlas en flujos de trabajo automatizados.
– Monitorizar cambios en la API y en la documentación técnica de OpenAI para detectar ajustes o regresiones que puedan afectar a la seguridad o conformidad (especialmente en relación con GDPR y NIS2).

Opinión de Expertos

Varios CISOs y analistas de amenazas han manifestado su preocupación ante la tendencia de OpenAI a priorizar atributos de personalidad y engagement sobre precisión técnica. Según Marta Jiménez, responsable de un SOC en una entidad financiera, “las decisiones de negocio que afectan a la usabilidad y neutralidad de modelos como GPT-5 pueden tener impacto directo en la calidad de la defensa proactiva y en la detección de amenazas emergentes”.

Implicaciones para Empresas y Usuarios

A nivel corporativo, la imposición de restricciones de acceso a modelos anteriores obliga a las empresas a revisar sus contratos y presupuestos de herramientas IA. Además, la adaptación forzada a modelos menos técnicos puede afectar la conformidad con marcos regulatorios como GDPR, especialmente si la IA procesa información sensible y la calidad de las respuestas puede afectar la toma de decisiones automatizada.

Conclusiones

El despliegue de GPT-5, lejos de cumplir las expectativas generadas, ha puesto de manifiesto la importancia de la transparencia y el enfoque técnico en la evolución de los modelos de lenguaje para usos profesionales. Mientras OpenAI no ajuste el rumbo, los equipos de ciberseguridad y los usuarios avanzados deberán valorar alternativas y reforzar mecanismos de validación para mitigar los riesgos asociados a estos cambios.

(Fuente: www.bleepingcomputer.com)