{"id":47658,"date":"2024-01-26T15:59:23","date_gmt":"2024-01-26T18:59:23","guid":{"rendered":"https:\/\/temucotelevision.cl\/web\/?p=47658"},"modified":"2024-01-26T15:59:24","modified_gmt":"2024-01-26T18:59:24","slug":"dominios-maliciosos-usan-el-nombre-de-chatgpt-para-robar-api-keys","status":"publish","type":"post","link":"https:\/\/temucotelevision.cl\/web\/2024\/01\/26\/dominios-maliciosos-usan-el-nombre-de-chatgpt-para-robar-api-keys\/","title":{"rendered":"Dominios maliciosos usan el nombre de ChatGPT para robar API keys"},"content":{"rendered":"
<\/div>

<\/path><\/svg><\/i> \"Loading\"<\/p>

<\/div>\n

En el \u00faltimo reporte de amenazas de ESET, el equipo de investigaci\u00f3n detect\u00f3 dominios maliciosos que hacen referencia a ChatgGPT y roban claves API leg\u00edtimas de OpenAI.<\/em><\/p>\n\n\n\n

Chat GPT es, desde que apareci\u00f3 en escena en noviembre de 2022, una herramienta cada vez m\u00e1s utilizada y con funcionalidades que son explotadas para muchos fines que van desde redactar un mail laboral, hasta escribir l\u00edneas de c\u00f3digo o hacer que oficie de interlocutor para una conversaci\u00f3n casi humana. A trav\u00e9s de APIs (Interfaz de Programaci\u00f3n de Aplicaciones) esta tecnolog\u00eda est\u00e1 disponible para desarrolladores que pueden utilizar la funcionalidad de esta inteligencia artificial de OpenIA para sus proyectos, solicitando una clave API que les da acceso a los modelos de inteligencia artificial que ofrece la empresa (ChatGPT, DALL-E y Whisper).<\/p>\n\n\n\n

En el \u00faltimo reporte de amenazas de ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, el equipo de investigaci\u00f3n detect\u00f3 que, en el segundo semestre de 2023, el nombre “chatGPT” fue usado en dominios maliciosos -o al menos inseguros-, para robar claves API leg\u00edtimas de OpenAI. Se registraron, en la telemetr\u00eda de ESET,<\/strong> m\u00e1s de 650.000 intentos de acceder a dominios maliciosos, que hac\u00edan referencia a chatGPT<\/strong> con el claro fin de suplantar la identidad del sitio real open.ia.com<\/a> y subirse a la ola de b\u00fasquedas en la web de esta tecnolog\u00eda.<\/p>\n\n\n\n

En este caso, las amenazas encontradas incluyeron aplicaciones web que manejan de forma insegura las claves API de OpenAI, y extensiones maliciosas del navegador Google Chrome para ChatGPT.<\/p>\n\n\n\n

\u201cNo es la primera vez que se observa que la popularidad de este chatbot es aprovechada por cibercriminales para atraer usuarios de OpenAI: sitios falso de ChatGPT, extensiones maliciosas para navegadores, aplicaciones que distribuyen troyanos para el robo de informaci\u00f3n bancaria\u201d, <\/em>coment\u00f3 Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica. <\/p>\n\n\n\n

La clave API es un identificador \u00fanico que autentifica y autoriza a usuarios, desarrolladores o programas de llamada, y controla el acceso, limita la cantidad de datos que se pueden recuperar o restringir el uso de una API a un conjunto espec\u00edfico de usuarios o aplicaciones. Las claves API tienen muchos usos, desde servicios web hasta aplicaciones m\u00f3viles. Por ejemplo, una aplicaci\u00f3n de meteorolog\u00eda puede utilizar una clave API de un servicio meteorol\u00f3gico para obtener datos meteorol\u00f3gicos actualizados, o las aplicaciones de pago incorporadas en un sitio de compras online utilizan una clave API de la plataforma de pagos. <\/p>\n\n\n\n

Algunos de estos servicios API son pagos otros gratuitos, y en el caso de OpenAI, cada usuario final generar\u00e1 un token -que se le factura al proyecto donde se haya incorporado esta API. El usuario final no requiere de conocer esa clave API, que s\u00ed conoce el desarrollador y, seg\u00fan ESET, deber\u00eda manejar con sumo cuidado (\/servicio web) para integrar servicios de terceros.<\/p>\n\n\n\n

\u201cAunque no se trate de una actividad per se delictiva, es importante prestar atenci\u00f3n a desarrolladores de aplicaciones que incorporan el modo “bring your own key” y solicitan la clave API de OpenAI, supuestamente para comunicarse con api.openai.com<\/a> en su nombre. No hay garant\u00edas de que la clave no se filtre o se use indebidamente\u201d,<\/em> agrega Guti\u00e9rrez Amaya de ESET.<\/p>\n\n\n\n

Como ejemplo, la web de ChatGPT en chat.apple000[.] top pide a los usuarios sus claves API de OpenAI y las env\u00eda a su propio servidor. Esta aplicaci\u00f3n web se vincula al c\u00f3digo fuente abierto en GitHub a partir del cual se construy\u00f3 y, al consultar en Censys, buscando p\u00e1ginas web HTML que usan el t\u00edtulo “ChatGPT Next Web”, m\u00e1s de 7.000 servidores alojan una copia de esta aplicaci\u00f3n web. \u201cNo se puede determinar, de todas formas, si se crearon como parte de campa\u00f1as de phishing para claves API de OpenAI o si se expusieron en Internet por otra raz\u00f3n. Est\u00e1 claro que no se debe introducir la clave de OpenAI en aplicaciones que env\u00eden la informaci\u00f3n a un servidor dudoso\u201d, <\/em>concluy\u00f3 el investigador de ESET.<\/p>\n\n\n\n

Aparte de estas aplicaciones web, casi todos los bloqueos de nombres de dominio maliciosos inspirados en ChatGPT relevados en la telemetr\u00eda ESET, en la segunda mitad de 2023, estaban relacionados con extensiones de Chrome detectadas como JS\/Chromex.Agent.BZ<\/a>. Una de ellas es gptforchrome[.] com que conduce a la extensi\u00f3n maliciosa ChatGPT for Search – Support GPT-4 en Chrome Web Store, (informada a Google por los especialistas de ESET Research).<\/p>\n\n\n\n

ESET comparte algunos consejos de seguridad para evitar la p\u00e9rdida de claves:<\/p>\n\n\n\n