En el último reporte de amenazas de ESET, el equipo de investigación detectó dominios maliciosos que hacen referencia a ChatgGPT y roban claves API legítimas de OpenAI.
Chat GPT se ha convertido, desde su aparición en noviembre de 2022, en una herramienta cada vez más utilizada con diversas funcionalidades, desde redactar correos laborales hasta escribir líneas de código o desempeñar el papel de interlocutor en conversaciones casi humanas. A través de APIs (Interfaz de Programación de Aplicaciones), esta tecnología está disponible para desarrolladores que pueden integrar la funcionalidad de esta inteligencia artificial de OpenAI en sus proyectos, solicitando una clave API que les proporciona acceso a los modelos de inteligencia artificial ofrecidos por la empresa (ChatGPT, DALL-E y Whisper).
Según el último informe de amenazas de ESET, una empresa líder en detección proactiva de amenazas, durante el segundo semestre de 2023, el nombre "chatGPT" se utilizó en dominios maliciosos, o al menos inseguros, con el propósito de robar claves API legítimas de OpenAI. Se registraron más de 650.000 intentos, según la telemetría de ESET, de acceder a dominios maliciosos que hacían referencia a chatGPT, con el claro objetivo de suplantar la identidad del sitio real open.ia.com y aprovechar la popularidad de esta tecnología en las búsquedas web.
En este caso, las amenazas identificadas incluyeron aplicaciones web que manejaban de manera insegura las claves API de OpenAI, así como extensiones maliciosas para el navegador Google Chrome destinadas a ChatGPT.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, comentó: “No es la primera vez que se observa que la popularidad de este chatbot es aprovechada por cibercriminales para atraer usuarios de OpenAI: sitios falsos de ChatGPT, extensiones maliciosas para navegadores, aplicaciones que distribuyen troyanos para el robo de información bancaria”.
La clave API es un identificador único que autentica y autoriza a usuarios, desarrolladores o programas de llamada, controlando el acceso y limitando la cantidad de datos que se pueden recuperar. En el caso de OpenAI, cada usuario final genera un token, que se factura al proyecto donde se ha incorporado la API. Aunque el usuario final no necesita conocer esta clave API, es esencial que los desarrolladores la manejen con extrema precaución al integrar servicios de terceros.
“Aunque no se trate de una actividad per se delictiva, es importante prestar atención a desarrolladores de aplicaciones que incorporan el modo 'bring your own key' y solicitan la clave API de OpenAI, supuestamente para comunicarse con api.openai.com en su nombre. No hay garantías de que la clave no se filtre o se use indebidamente”, agrega Gutiérrez Amaya de ESET.
Como ejemplo, el sitio web de ChatGPT en chat.apple000[.] top solicita a los usuarios sus claves API de OpenAI y las envía a su propio servidor. Esta aplicación web se vincula al código fuente abierto en GitHub a partir del cual se construyó, y al consultar en Censys, buscando páginas web HTML que usan el título "ChatGPT Next Web", se encontró que más de 7.000 servidores alojan una copia de esta aplicación web. “No se puede determinar, de todas formas, si se crearon como parte de campañas de phishing para claves API de OpenAI o si se expusieron en Internet por otra razón. Está claro que no se debe introducir la clave de OpenAI en aplicaciones que envíen la información a un servidor dudoso”, concluyó el investigador de ESET.
Además de estas aplicaciones web, la mayoría de los bloqueos de nombres de dominio maliciosos inspirados en ChatGPT detectados en la telemetría de ESET, en la segunda mitad de 2023, estaban relacionados con extensiones de Chrome identificadas como JS/Chromex.Agent.BZ. Una de ellas es gptforchrome[.] com, que conduce a la extensión maliciosa ChatGPT for Search - Support GPT-4 en la Chrome Web Store (informada a Google por los especialistas de ESET Research).
ESET comparte algunos consejos de seguridad para evitar la pérdida de claves:
- Evitar compartir la clave API.
- Utilizar un gestor de contraseñas para guardarla con seguridad.
- Crear una clave robusta con un cifrado fuerte.
- Cambiar la clave API si se cree haber sido comprometida.
- Asegurarse de eliminar las extensiones maliciosas del navegador en todos los dispositivos, especialmente si se habilitó la sincronización.
- Prestar mucha atención a las extensiones del navegador antes de instalarlas.
- Utilizar una solución de seguridad confiable y de múltiples capas que pueda detectar sitios falsos y extensiones potencialmente maliciosas.
Publicar un comentario