Montevideo, Uruguay– Chat GPT es, desde que apareció en escena en noviembre de 2022, una herramienta cada vez más utilizada y con funcionalidades que son explotadas para muchos fines que van desde redactar un mail laboral, hasta escribir líneas de código o hacer que oficie de interlocutor para una conversación casi humana. A través de APIs (Interfaz de Programación de Aplicaciones) esta tecnología está disponible para desarrolladores que pueden utilizar la funcionalidad de esta inteligencia artificial de OpenIA para sus proyectos, solicitando una clave API que les da acceso a los modelos de inteligencia artificial que ofrece la empresa (ChatGPT, DALL-E y Whisper).
En el último reporte de amenazas de ESET, compañía líder en detección proactiva de amenazas, el equipo de investigación detectó que, en el segundo semestre de 2023, el nombre “chatGPT” fue usado en dominios maliciosos -o al menos inseguros-, para robar claves API legítimas de OpenAI.**Se registraron, en la telemetría de ESET, **más de 650.000 intentos de acceder a dominios maliciosos, que hacían referencia a chatGPT **con el claro fin de suplantar la identidad del sitio real open.ia.com y subirse a la ola de búsquedas en la web de esta tecnología.
En este caso, las amenazas encontradas incluyeron aplicaciones web que manejan de forma insegura las claves API de OpenAI, y extensiones maliciosas del navegador Google Chrome para ChatGPT.
_“No es la primera vez que se observa que la popularidad de este chatbot es aprovechada por cibercriminales para atraer usuarios de OpenAI: sitios falso de ChatGPT, extensiones maliciosas para navegadores, aplicaciones que distribuyen troyanos para el robo de información bancaria.”,_comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
La clave API es un identificador único que autentifica y autoriza a usuarios, desarrolladores o programas de llamada, y controla el acceso, limita la cantidad de datos que se pueden recuperar o restringir el uso de una API a un conjunto específico de usuarios o aplicaciones. Las claves API tienen muchos usos, desde servicios web hasta aplicaciones móviles. Por ejemplo, una aplicación de meteorología puede utilizar una clave API de un servicio meteorológico para obtener datos meteorológicos actualizados, o las aplicaciones de pago incorporadas en un sitio de compras online utilizan una clave API de la plataforma de pagos.
Alguno de estos servicios API son pagos otros gratuitos, y en el caso de OpenAI, cada usuario final generará un token -que se le factura al proyecto donde se haya incorporado esta API. El usuario final no requiere de conocer esa clave API, que sí conoce el desarrollador y, según ESET, debería manejar con sumo cuidado (/servicio web) para integrar servicios de terceros.
_“Aunque no se trate de una actividad per se delictiva, es importante prestar atención a desarrolladores de aplicaciones que incorporan el modo “bring your own key” y solicitan la clave API de OpenAI, supuestamente para comunicarse con api.openai.com en su nombre. No hay garantías de que la clave no se filtre o se use indebidamente.”,_agrega Gutiérrez Amaya de ESET.
Como ejemplo, la web de ChatGPT en chat.apple000\ [.] top pide a los usuarios sus claves API de OpenAI y las envía a su propio servidor. Esta aplicación web se vincula al código fuente abierto en GitHub a partir del cual se construyó y, al consultar en Censys, buscando páginas web HTML que usan el título “ChatGPT Next Web”, más de 7.000 servidores alojan una copia de esta aplicación web. “_No se puede determinar, de todas formas, si se crearon como parte de campañas de phishing para claves API de OpenAI o si se expusieron en Internet por otra razón. Está claro que no se debe introducir la clave de OpenAI en aplicaciones que envíen la información a un servidor dudoso.”,_concluyó el investigador de ESET.
Aparte de estas aplicaciones web, casi todos los bloqueos de nombres de dominio maliciosos inspirados en ChatGPT relevados en la telemetría ESET, en la segunda mitad de 2023, estaban relacionados con extensiones de Chrome detectadas como JS/Chromex.Agent.BZ. Una de ellas es gptforchrome\ [.] com que conduce a la extensión maliciosa ChatGPT for Search - Support GPT-4 en Chrome Web Store, (informada a Google por los especialistas de ESET Research).
ESET comparte algunos consejos de seguridad para evitar la pérdida de claves:
Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/cibercrimen/dominios-maliciosos-nombre-chatgpt-robar-api-keys/
**Visítanos en: **
@ESETLA /compay/eset-latinoamerica /esetla /ESETLA /@esetla
**Acerca de ESET **
Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la tecnología de forma segura. Su portfolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo.
**Acerca de Videosoft | ESET Uruguay **
VideoSoft representa y distribuye de forma exclusiva en Uruguay los productos de ESET, formando así el nodo ESET Uruguay. Con más de 20 años dedicados al área de la informática, la experiencia de VideoSoft en el tema de los virus de computadora es avalada por la creación del portal VSAntivirus, que desde hace 16 años obtiene importante reconocimiento a nivel mundial con decenas de miles de visitas diarias. Es así que a la hora de ofrecer la mejor protección con el mayor rendimiento en el tema de software de seguridad, su gran entendimiento en la materia, llevó a la empresa a inclinarse decididamente hacia NOD32.
ESET es representado y distribuido de forma exclusiva por VideoSoft desde el año 2004.
Por más información, visite www.eset.com.uy
