Se vende cuenta hackeada de ChatGPT: hay m¨¢s de 100.000 en la ¡®dark web¡¯

En los ¨²ltimos meses, m¨¢s de 100.000 cuentas hackeadas de ChatGPT se han puesto a la venta en la dark web. En este espacio, conocido como los bajos fondos de internet, ha buceado la firma de ciberseguridad Group-IB, que ha descubierto nombres de usuario y contrase?as de m¨²ltiples servicios web. Entre ellos se incluyen credenciales de la inteligencia artificial de OpenAI, que se utiliza con fines profesionales y, por tanto, algunas veces contiene informaci¨®n confidencial de las empresas que la usan.

Desde que ChatGPT se populariz¨® a finales del pasado a?o, su adopci¨®n ha sido masiva. Alcanz¨® los 100 millones de usuarios en solo dos meses y a d¨ªa de hoy mantiene un crecimiento mete¨®rico. Compa?¨ªas como Microsoft se han mostrado favorables a que sus trabajadores la utilicen para automatizar tareas, aunque con precauci¨®n.

Pero no todo el mundo es tan entusiasta. Algunos gigantes, como Apple o Samsung, han prohibido usar esta u otras aplicaciones de IA por miedo a que se filtre al exterior informaci¨®n interna. En este contexto, una encuesta realizada por la app Fishbowl, que promueve el debate grupal en ¨¢mbitos empresariales, se?ala que un 68% de los que usan ChatGPT u otras herramientas de IA lo hace sin el conocimiento de sus superiores.

El crecimiento vertiginoso de ChatGPT invita a pensar que algunas empresas se han lanzado en tromba a usar la aplicaci¨®n, sin protocolos ni gu¨ªas de uso. Y esto tiene sus riesgos, porque la herramienta almacena el historial, con todas las preguntas que hace el usuario y las respuestas que da la IA. ¡°Muchas compa?¨ªas han empezado a usar ChatGPT en sus procesos del d¨ªa a d¨ªa. Algunos altos directivos o jefes de ventas pueden utilizarlo para mejorar sus emails, que despu¨¦s se env¨ªan a nivel externo. Evidentemente, en esta correspondencia puede haber datos sensibles, como precios que se manejan internamente, n¨²meros, informaci¨®n sobre productos, sobre innovaciones, facturas y otra informaci¨®n cr¨ªtica¡±, comenta Dmitry Shestakov, responsable del producto Threat Intelligence en Group-IB.

En total, la firma de ciberseguridad encontr¨® 101.134 credenciales de cuentas de ChatGPT expuestas en el mercado negro. Los ciberdelincuentes utilizaron programas maliciosos, llamados information stealers, como troyanos, para robar los datos. Despu¨¦s los vend¨ªan en paquetes, llamados ¡®stealer logs¡¯, que son archivos comprimidos que contienen carpetas y documentos de texto con los nombres de usuario y contrase?as sustra¨ªdos de un dispositivo. El precio medio de uno de estos archivos es de 10 d¨®lares, aunque Group-IB puntualiza que no se sabe cu¨¢ntos de ellos han sido comprados.

Los historiales de ChatGPT pueden contener informaci¨®n de uso interno, que las empresas no quieren ver circular libremente. Pero tambi¨¦n se pueden extraer datos para practicar ataques dirigidos contra los empleados de las propias compa?¨ªas. Los atacantes podr¨ªan usar en un email malicioso el nombre de un empleado o algunos detalles sobre procesos en los que trabaja la empresa. De esta forma, logran un texto m¨¢s cre¨ªble y ser¨ªa m¨¢s f¨¢cil que un directivo pinche en un enlace o se descargue un archivo.

Otro de los grandes riesgos que tiene la filtraci¨®n de cuentas de ChatGPT est¨¢ relacionado con el uso de esta herramienta en programaci¨®n. Shestakov explica los problemas que esto puede acarrear: ¡°A veces se comparte con ChatGPT el c¨®digo de productos desarrollados dentro de la empresa y esto genera el riesgo de que actores maliciosos puedan interceptar, replicar y vender este c¨®digo a competidores. Adem¨¢s, este c¨®digo se puede utilizar para buscar en ¨¦l vulnerabilidades en los productos de la empresa, lo que llevar¨ªa a potenciales brechas de seguridad¡±.

Armando Mart¨ªnez-Polo, socio responsable de Consultor¨ªa Tecnol¨®gica en PwC, anima a las empresas a explorar las inteligencias artificiales generativas, pero siguiendo ciertas recomendaciones. Antes de nada, se necesitan pol¨ªticas de uso donde se define claramente lo que no se puede hacer. ¡°Lo primero es establecer que no se compartan datos personales ni datos confidenciales o de propiedad intelectual de las empresas con las inteligencias artificiales generativas¡±, destaca Mart¨ªnez-Polo.

¡°El gran problema que hay con OpenAI es que todo lo que haces con ellos lo subes a la nube y, adem¨¢s, OpenAI lo emplea para entrenar sus propios modelos¡±, explica Mart¨ªnez-Polo, que aconseja utilizar la IA dentro de un servicio de nube privada. ¡°Es importante crear un entorno de trabajo seguro con ChatGPT, para que cuando t¨² facilites informaci¨®n de tu compa?¨ªa para hacer el entrenamiento, sepas que todo queda dentro de tu entorno protegido¡±.

De momento, no parece que las filtraciones de datos vayan a disminuir. Todo lo contrario. La firma de ciberseguridad Group-IB ha observado que el n¨²mero de archivos a la venta con claves de ChatGPT no ha dejado de aumentar en el ¨²ltimo a?o. Y se ha incrementado sensiblemente en los ¨²ltimos seis meses. En diciembre de 2022 se encontraron 2.766 cuentas hackeadas de la herramienta de inteligencia artificial. El pasado mes de mayo ya eran 26.802. ¡°Prevemos que haya m¨¢s credenciales de ChatGPT incluidas en los stealer logs, dado el creciente n¨²mero de usuarios que se registran en el chatbot¡±, apunta Shestakov.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.