En los últimos meses, más de cien.000 cuentas hackeadas de ChatGPT se han puesto en venta en la dark web. En este espacio, conocido como los bajos fondos de internet, ha buceado la firma de ciberseguridad Group-IB, que ha descubierto nombres de usuario y claves de acceso de múltiples servicios web. Entre se incluyen credenciales de la inteligencia artificial de OpenAI, que se usa con fines profesionales y, por consiguiente, de vez en cuando contiene información reservado de las compañías que la emplean.
Desde que ChatGPT se popularizó a fines del pasado año, su adopción ha sido masiva. Alcanzó los cien millones de usuarios en solo un par de meses y a día de hoy sostiene un desarrollo meteórico. Compañías como Microsoft se han mostrado convenientes a que sus trabajadores la usen para mecanizar labores, aunque con precaución.
Pero no todo el planeta es tan entusiasta. Algunos gigantes, como Apple o Samsung, han prohibido utilizar esta u otras aplicaciones de IA por temor a que se filtre al exterior información interna. En este contexto, una encuesta efectuada por la app Fishbowl, que fomenta el discute grupal en campos empresariales, apunta que un sesenta y ocho% de los que emplean ChatGPT u otras herramientas de IA lo hace sin el conocimiento de sus superiores.
El desarrollo mareante de ChatGPT invita a meditar que ciertas empresas se han lanzado en tromba a utilizar la aplicación, sin protocolos ni guías de uso. Y esto tiene sus peligros, por el hecho de que la herramienta guarda el historial, con todas y cada una de las preguntas que hace el usuario y las contestaciones que da la IA. “Muchas compañías han empezado a usar ChatGPT en sus procesos del día a día. Algunos altos directivos o jefes de ventas pueden utilizarlo para mejorar sus emails, que después se envían a nivel externo. Evidentemente, en esta correspondencia puede haber datos sensibles, como precios que se manejan internamente, números, información sobre productos, sobre innovaciones, facturas y otra información crítica”, comenta Dmitry Shestakov, responsable del producto Threat Intelligence en Group-IB.
En total, la firma de ciberseguridad halló 101.134 credenciales de cuentas de ChatGPT expuestas en el mercado negro. Los ciberdelincuentes usaron programas maliciosos, llamados information stealers, como troyanos, para hurtar los datos. Después los vendían en bultos, llamados ‘stealer logs’, que son ficheros comprimidos que poseen carpetitas y documentos de texto con los nombres de usuario y claves de acceso sustraídos de un dispositivo. El coste medio de uno de estos ficheros es de diez dólares estadounidenses, si bien Group-IB apostilla que no se sabe cuántos de ellos han sido comprados.
Los historiales de ChatGPT pueden contener información de uso interno, que las compañías no desean ver circular con libertad. Pero asimismo se pueden extraer datos para practicar ataques dirigidos contra los empleados de las propias compañías. Los atacantes podrían utilizar en un correo electrónico malicioso el nombre de un empleado o ciertos detalles sobre procesos en los que trabaja la compañía. De esta forma, consiguen un texto más admisible y sería más simple que un directivo pinche en un link o se descargue un fichero.
Otro de los grandes peligros que tiene la filtración de cuentas de ChatGPT está relacionado con el uso de esta herramienta en programación. Shestakov explica los inconvenientes que esto puede acarrear: “A veces se comparte con ChatGPT el código de productos desarrollados dentro de la empresa y esto genera el riesgo de que actores maliciosos puedan interceptar, replicar y vender este código a competidores. Además, este código se puede utilizar para buscar en él vulnerabilidades en los productos de la empresa, lo que llevaría a potenciales brechas de seguridad”.
Armando Martínez-Polo, asociado responsable de Consultoría Tecnológica en PwC, anima a las compañías a explorar las inteligencias artificiales generativas, mas siguiendo ciertas recomendaciones. Antes de nada, se precisan políticas de uso donde se define meridianamente lo que no se puede hacer. “Lo primero es establecer que no se compartan datos personales ni datos confidenciales o de propiedad intelectual de las empresas con las inteligencias artificiales generativas”, resalta Martínez-Polo.
“El gran problema que hay con OpenAI es que todo lo que haces con ellos lo subes a la nube y, además, OpenAI lo emplea para entrenar sus propios modelos”, explica Martínez-Polo, que recomienda emplear la IA en un servicio de nube privada. “Es importante crear un entorno de trabajo seguro con ChatGPT, para que cuando tú facilites información de tu compañía para hacer el entrenamiento, sepas que todo queda dentro de tu entorno protegido”.
De instante, no semeja que las filtraciones de datos vayan a reducir. Todo lo opuesto. La firma de ciberseguridad Group-IB ha observado que el número de ficheros en venta con claves de ChatGPT no ha dejado de acrecentar en el último año. Y se ha aumentado sensiblemente en los últimos 6 meses. En diciembre de dos mil veintidos se hallaron dos mil setecientos sesenta y seis cuentas hackeadas de la herramienta de inteligencia artificial. El pasado mes de mayo ya eran veintiseis y ochocientos dos. “Prevemos que haya más credenciales de ChatGPT incluidas en los stealer logs, dado el creciente número de usuarios que se registran en el chatbot”, apunta Shestakov.
Santander (España), 1985. Después de obtener su licenciatura en Periodismo en la Universidad Complutense de Madrid, decidió enfocarse en el cine y se matriculó en un programa de posgrado en crítica cinematográfica.
Sin, embargo, su pasión por las criptomonedas le llevó a dedicarse al mundo de las finanzas. Le encanta ver películas en su tiempo libre y es un gran admirador del cine clásico. En cuanto a sus gustos personales, es un gran fanático del fútbol y es seguidor del Real Madrid. Además, ha sido voluntario en varias organizaciones benéficas que trabajan con niños.
