Desde su debut en noviembre de 2022, ChatGPT ha evolucionado como una herramienta versátil, utilizada desde la redacción de correos laborales hasta el desarrollo de código. Sin embargo, su creciente popularidad también ha atraído la atención de cibercriminales, según revela el último informe de amenazas de ESET.
Durante el segundo semestre de 2023, ESET detectó más de 650,000 intentos de acceso a dominios maliciosos relacionados con ChatGPT. Estos sitios, aparentemente inseguros, tenían como objetivo robar claves API legítimas de OpenAI, según informó el equipo de investigación de ESET. Las amenazas identificadas incluyeron aplicaciones web que manejaban de manera insegura las claves API de OpenAI y extensiones maliciosas para Google Chrome específicamente diseñadas para ChatGPT.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, comentó: ‘No es la primera vez que la popularidad de este chatbot es aprovechada por cibercriminales para atraer usuarios de OpenAI’. Sitios falsos de ChatGPT, extensiones maliciosas para navegadores y aplicaciones que distribuyen troyanos para el robo de información bancaria son algunas de las amenazas identificadas.
La clave API, un identificador único que autentica y autoriza a usuarios, desarrolladores o programas, se ha convertido en un objetivo valioso para los cibercriminales. Estas claves controlan el acceso y limitan la cantidad de datos que se pueden recuperar, por lo que es esencial protegerlas. ESET advierte que, aunque no sea una actividad delictiva per se, es crucial prestar atención a los desarrolladores de aplicaciones que solicitan claves API, ya que no hay garantías de que no se filtren o se utilicen indebidamente.
Ejemplificando el riesgo, el investigador de ESET destacó una aplicación web en chat.apple000[.] top, que solicitaba las claves API de OpenAI a los usuarios y las enviaba a su propio servidor. Aunque más de 7,000 servidores alojan copias de esta aplicación web, su propósito malicioso no se puede determinar claramente.
Además de estas aplicaciones web, ESET identificó bloqueos de nombres de dominio maliciosos relacionados con ChatGPT, principalmente vinculados a extensiones de Chrome detectadas como JS/Chromex.Agent.BZ. Una de ellas, gptforchrome[.] com, conducía a la extensión maliciosa ‘ChatGPT for Search – Support GPT-4’ en la Chrome Web Store.
ESET comparte valiosos consejos de seguridad para evitar la pérdida de claves API, incluyendo la importancia de no compartirlas, el uso de gestores de contraseñas seguros, la creación de claves robustas y el cambio inmediato en caso de compromiso. Además, se enfatiza la necesidad de eliminar extensiones maliciosas del navegador y de utilizar soluciones de seguridad confiables para detectar sitios y extensiones potencialmente maliciosas. La protección de las claves API es esencial en un entorno digital cada vez más amenazador.