Se vende cuenta hackeada de ChatGPT: hay más de 100.000 en la ‘dark web’
En el mercado negro de Internet proliferan las credenciales robadas para acceder a la inteligencia artificial de OpenAI, lo que puede revelar información confidencial de quienes la usan
En los últimos meses, más de 100.000 cuentas hackeadas de ChatGPT se han puesto a la venta en la dark web. En este espacio, conocido como los bajos fondos de internet, ha buceado la firma de ciberseguridad Group-IB, que ha descubierto nombres de usuario y contraseñas de múltiples servicios web. Entre ellos se incluyen credenciales de la inteligencia artificial de OpenAI, que se utiliza con fines profesionales y, por tanto, algunas veces contiene información confidencial de las empresas que la usan.
Desde que ChatGPT se popularizó a finales del pasado año, su adopción ha sido masiva. Alcanzó los 100 millones de usuarios en solo dos meses y a día de hoy mantiene un crecimiento meteórico. Compañías como Microsoft se han mostrado favorables a que sus trabajadores la utilicen para automatizar tareas, aunque con precaución.
Pero no todo el mundo es tan entusiasta. Algunos gigantes, como Apple o Samsung, han prohibido usar esta u otras aplicaciones de IA por miedo a que se filtre al exterior información interna. En este contexto, una encuesta realizada por la app Fishbowl, que promueve el debate grupal en ámbitos empresariales, señala que un 68% de los que usan ChatGPT u otras herramientas de IA lo hace sin el conocimiento de sus superiores.
El crecimiento vertiginoso de ChatGPT invita a pensar que algunas empresas se han lanzado en tromba a usar la aplicación, sin protocolos ni guías de uso. Y esto tiene sus riesgos, porque la herramienta almacena el historial, con todas las preguntas que hace el usuario y las respuestas que da la IA. “Muchas compañías han empezado a usar ChatGPT en sus procesos del día a día. Algunos altos directivos o jefes de ventas pueden utilizarlo para mejorar sus emails, que después se envían a nivel externo. Evidentemente, en esta correspondencia puede haber datos sensibles, como precios que se manejan internamente, números, información sobre productos, sobre innovaciones, facturas y otra información crítica”, comenta Dmitry Shestakov, responsable del producto Threat Intelligence en Group-IB.
En total, la firma de ciberseguridad encontró 101.134 credenciales de cuentas de ChatGPT expuestas en el mercado negro. Los ciberdelincuentes utilizaron programas maliciosos, llamados information stealers, como troyanos, para robar los datos. Después los vendían en paquetes, llamados ‘stealer logs’, que son archivos comprimidos que contienen carpetas y documentos de texto con los nombres de usuario y contraseñas sustraídos de un dispositivo. El precio medio de uno de estos archivos es de 10 dólares, aunque Group-IB puntualiza que no se sabe cuántos de ellos han sido comprados.
Los historiales de ChatGPT pueden contener información de uso interno, que las empresas no quieren ver circular libremente. Pero también se pueden extraer datos para practicar ataques dirigidos contra los empleados de las propias compañías. Los atacantes podrían usar en un email malicioso el nombre de un empleado o algunos detalles sobre procesos en los que trabaja la empresa. De esta forma, logran un texto más creíble y sería más fácil que un directivo pinche en un enlace o se descargue un archivo.
Otro de los grandes riesgos que tiene la filtración de cuentas de ChatGPT está relacionado con el uso de esta herramienta en programación. Shestakov explica los problemas que esto puede acarrear: “A veces se comparte con ChatGPT el código de productos desarrollados dentro de la empresa y esto genera el riesgo de que actores maliciosos puedan interceptar, replicar y vender este código a competidores. Además, este código se puede utilizar para buscar en él vulnerabilidades en los productos de la empresa, lo que llevaría a potenciales brechas de seguridad”.
Armando Martínez-Polo, socio responsable de Consultoría Tecnológica en PwC, anima a las empresas a explorar las inteligencias artificiales generativas, pero siguiendo ciertas recomendaciones. Antes de nada, se necesitan políticas de uso donde se define claramente lo que no se puede hacer. “Lo primero es establecer que no se compartan datos personales ni datos confidenciales o de propiedad intelectual de las empresas con las inteligencias artificiales generativas”, destaca Martínez-Polo.
“El gran problema que hay con OpenAI es que todo lo que haces con ellos lo subes a la nube y, además, OpenAI lo emplea para entrenar sus propios modelos”, explica Martínez-Polo, que aconseja utilizar la IA dentro de un servicio de nube privada. “Es importante crear un entorno de trabajo seguro con ChatGPT, para que cuando tú facilites información de tu compañía para hacer el entrenamiento, sepas que todo queda dentro de tu entorno protegido”.
De momento, no parece que las filtraciones de datos vayan a disminuir. Todo lo contrario. La firma de ciberseguridad Group-IB ha observado que el número de archivos a la venta con claves de ChatGPT no ha dejado de aumentar en el último año. Y se ha incrementado sensiblemente en los últimos seis meses. En diciembre de 2022 se encontraron 2.766 cuentas hackeadas de la herramienta de inteligencia artificial. El pasado mes de mayo ya eran 26.802. “Prevemos que haya más credenciales de ChatGPT incluidas en los stealer logs, dado el creciente número de usuarios que se registran en el chatbot”, apunta Shestakov.
Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.