La popularidad de ChatGPT ha desatado una fiebre por la Inteligencia Artificial, y como siempre, los cibercriminales buscan su tajada. ESET ha detectado una red masiva de dominios falsos que imitan al chatbot de OpenAI con un objetivo claro: robar claves API.
El negocio de las API Keys
Las claves API de OpenAI son el “pasaporte” que permite a desarrolladores usar la tecnología de GPT en sus propias apps. Estos accesos son pagos y valiosos. En el último semestre, ESET registró más de 650.000 intentos de acceso a sitios que simulaban ser ChatGPT. Estos sitios solicitan al usuario que ingrese su propia API Key para supuestamente funcionar, pero en realidad la envían a servidores de los atacantes.
Apps y Extensiones Peligrosas
No solo son webs falsas; también se detectaron:
- Extensiones de Chrome: Como “ChatGPT for Search”, que prometen integrar la IA al navegador pero actúan como malware para robar información.
- Webs “Bring your own key”: Sitios que te piden “traer tu propia clave”. Aunque algunos son legítimos, muchos son trampas para recolectar credenciales válidas y usarlas gratis a tu costa.
Cómo proteger tus claves
- Nunca compartas tu API Key: Es personal e intransferible.
- Cuidado con las extensiones: Verificá siempre al desarrollador antes de instalar complementos en tu navegador.
- Gestión de Claves: Si sospechás que tu clave fue expuesta, revócala inmediatamente desde el panel de control de OpenAI y generá una nueva.
Para seguir aprendiendo
Podés leer el informe completo sobre esta amenaza en el portal de ESET.