Blog de CiberAbogados
ChatGPT confirma la violación de datos, lo que plantea preocupaciones de seguridad
Cuando ChatGPT y chatbots similares estuvieron ampliamente disponibles por primera vez, la preocupación en el mundo de la ciberseguridad era cómo se podría usar la tecnología de IA para lanzar ataques cibernéticos. De hecho, no pasó mucho tiempo hasta que los actores de amenazas descubrieron cómo eludir los controles de seguridad para usar ChatGPT para escribir código malicioso.
Ahora parece que las tornas han cambiado. En lugar de que los atacantes usen ChatGPT para causar incidentes cibernéticos, ahora han activado la tecnología en sí. OpenAI, que desarrolló el chatbot, confirmó una violación de datos en el sistema causada por una vulnerabilidad en la biblioteca de código abierto del código, según Security Week. La brecha desconectó el servicio hasta que se solucionó.
Un éxito de la noche a la mañana
La popularidad de ChatGPT fue evidente desde su lanzamiento a fines de 2022. Todos, desde escritores hasta desarrolladores de software, querían experimentar con el chatbot. A pesar de sus respuestas imperfectas (parte de su prosa era tosca o claramente plagiada), ChatGPT se convirtió rápidamente en la aplicación para consumidores de más rápido crecimiento en la historia, llegando a más de 100 millones de usuarios mensuales en enero. Aproximadamente 13 millones de personas usaron la tecnología de IA diariamente dentro de un mes completo de su lanzamiento. Compare eso con otra aplicación extremadamente popular, TikTok, que tardó nueve meses en alcanzar números de usuarios similares.
Un analista de seguridad cibernética comparó ChatGPT con una navaja suiza y dijo que la amplia variedad de aplicaciones útiles de la tecnología es una razón importante de su popularidad temprana y rápida.
La violación de datos
Siempre que tenga una aplicación o tecnología popular, es solo cuestión de tiempo hasta que los actores de amenazas la ataquen. En el caso de ChatGPT, el exploit se produjo a través de una vulnerabilidad en la biblioteca de código abierto de Redis. Esto permitió a los usuarios ver el historial de chat de otros usuarios activos.
Las bibliotecas de código abierto se utilizan "para desarrollar interfaces dinámicas mediante el almacenamiento de rutinas y recursos fácilmente accesibles y de uso frecuente, como clases, datos de configuración, documentación, datos de ayuda, plantillas de mensajes, código y subrutinas escritos previamente, especificaciones de tipo y valores". según una definición de Heavy.AI . OpenAI usa Redis para almacenar en caché la información del usuario para una recuperación y un acceso más rápidos. Debido a que miles de colaboradores desarrollan y acceden a código de fuente abierta, es fácil que las vulnerabilidades se abran y pasen desapercibidas. Los actores de amenazas lo saben, por lo que los ataques a las bibliotecas de código abierto han aumentado en un 742 % desde 2019.
En el gran esquema de las cosas, el exploit ChatGPT fue menor y OpenAI corrigió el error a los pocos días de ser descubierto. Pero incluso un incidente cibernético menor puede causar mucho daño.
Sin embargo, eso fue solo un incidente a nivel de superficie. A medida que los investigadores de OpenAI profundizaron, descubrieron que esta misma vulnerabilidad probablemente era responsable de la visibilidad de la información de pago durante unas horas antes de que ChatGPT se desconectara.
“Era posible que algunos usuarios vieran el nombre y apellido de otro usuario activo, la dirección de correo electrónico, la dirección de pago, los últimos cuatro dígitos (únicamente) de un número de tarjeta de crédito y la fecha de vencimiento de la tarjeta de crédito. Los números completos de las tarjetas de crédito no estuvieron expuestos en ningún momento”, dijo OpenAI en un comunicado sobre el incidente.
IA, Chatbots y Ciberseguridad
La fuga de datos en ChatGPT se abordó rápidamente con daños aparentemente pequeños, y los suscriptores de pago afectados representaron menos del 1% de sus usuarios. Sin embargo, el incidente podría ser un presagio de los riesgos que podrían afectar a los chatbots y a los usuarios en el futuro.
Ya existen preocupaciones de privacidad en torno al uso de chatbots. Mark McCreary, copresidente de la práctica de privacidad y seguridad de datos del bufete de abogados Fox Rothschild LLP, le dijo a CNN que ChatGPT y los chatbots son como la caja negra en un avión. La tecnología de IA almacena grandes cantidades de datos y luego usa esa información para generar respuestas a preguntas y avisos. Y cualquier cosa en la memoria del chatbot se convierte en un juego justo para otros usuarios.
Por ejemplo, los chatbots pueden registrar las notas de un solo usuario sobre cualquier tema y luego resumir esa información o buscar más detalles. Pero si esas notas incluyen datos confidenciales, por ejemplo, la propiedad intelectual de una organización o información confidencial del cliente, ingresa a la biblioteca de chatbot. El usuario ya no tiene control sobre la información.
Restricciones más estrictas sobre el uso de IA
Debido a problemas de privacidad, algunas empresas y países enteros están tomando medidas drásticas. JPMorgan Chase, por ejemplo, ha restringido el uso de ChatGPT por parte de los empleados debido a los controles de la empresa sobre el software y las aplicaciones de terceros, pero también existen preocupaciones en torno a la seguridad de la información financiera si se ingresa en el chatbot. E Italia citó la privacidad de los datos de sus ciudadanos por su decisión de bloquear temporalmente la aplicación en todo el país. La preocupación, afirmaron los funcionarios, se debe al cumplimiento de GDPR.
Los expertos también esperan que los actores de amenazas usen ChatGPT para crear correos electrónicos de phishing sofisticados y realistas. Atrás quedaron la mala gramática y la extraña redacción de oraciones que han sido el signo revelador de una estafa de phishing. Ahora, los chatbots imitarán a los hablantes nativos con mensajes dirigidos. ChatGPT es capaz de traducir idiomas sin problemas, lo que cambiará las reglas del juego para los adversarios extranjeros.
Una táctica igualmente peligrosa es el uso de IA para crear campañas de desinformación y conspiración. Las implicaciones de este uso podrían ir más allá de los riesgos cibernéticos. Los investigadores usaron ChatGPT para escribir un artículo de opinión y el resultado fue similar a todo lo que se encuentra en InfoWars u otros sitios web conocidos que venden teorías de conspiración.
OpenAI responde a algunas amenazas
Cada evolución de los chatbots creará nuevas amenazas cibernéticas, ya sea a través de las habilidades lingüísticas más sofisticadas o a través de su popularidad. Esto hace que la tecnología sea un objetivo principal como vector de ataque. Con ese fin, OpenAI está tomando medidas para evitar futuras violaciones de datos dentro de la aplicación. Ofrece una recompensa por errores de hasta $ 20,000 a cualquiera que descubra vulnerabilidades no reportadas.
Sin embargo, The Hacker News informó que "el programa no cubre los problemas de seguridad o alucinaciones del modelo, en los que se le solicita al chatbot que genere un código malicioso u otras salidas defectuosas". Entonces, parece que OpenAI quiere fortalecer la tecnología contra ataques externos, pero está haciendo poco para evitar que el chatbot sea la fuente de ciberataques.
ChatGPT y otros chatbots van a ser actores importantes en el mundo de la ciberseguridad. Solo el tiempo dirá si la tecnología será la víctima de los ataques o la fuente.
Fuente: https://securityintelligence.com/articles/chatgpt-confirms-data-breach/
Autor:
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Sobre el autor
Hugo F. Pérez Carretta
Logros
Al aceptar, accederá a un servicio proporcionado por un tercero externo a https://www.ciberabogados.ar/
Comentarios