OpenAI lanza una solución para la falla de seguridad de ChatGPT, pero no resuelve todo

ChatGPT fue una de las novedades del año, especialmente por lo que puede aportar a los usuarios, para hacerles la vida y el día a día más fácil. Aunque es solo una interfaz de interacción, detrás hay sistemas complejos, vulnerables a ataques. Se ha resuelto uno nuevo, pero aparentemente OpenAI todavía deja las puertas abiertas y se pueden robar datos de ChatGPT.

Fallo de seguridad de OpenAI ChatGPT

Fácil de robar datos en ChatGPT

Una brecha de seguridad afectó a los usuarios de ChatGPT, a quienes, sin saberlo, les robaron sus conversaciones de este servicio. Esto permitió algo que OpenAI ha intentado limitar y prevenir desde el primer día, buscando mantener privadas todas las interacciones de los usuarios con este servicio.

Aunque esta solución ya soluciona una parte importante del problema, lo cierto es que todavía es limitada. Según el investigador que lo reveló, incluso es posible robar las conversaciones de los usuarios y así obtener todo tipo de información que allí esté presente.

El investigador de seguridad Johann Rehberger descubrió una técnica para obtener datos de ChatGPT y lo informó a OpenAI en abril de 2023. Posteriormente, el investigador compartió información adicional en noviembre de 2023 sobre la creación de GPT maliciosos que aprovechan la falla para realizar phishing a los usuarios.

OpenAI intentó resolver este problema

Tras la falta de respuesta de OpenAI, el investigador decidió hacer públicos sus hallazgos el 12 de diciembre de 2023. Allí demostró un GPT personalizado, llamado "The Thief!", que puede robar datos de conversaciones a una URL externa operada por el investigador.

El robo de datos implica la reducción de la representación de la imagen y la inyección de un mensaje. Este ataque requiere que la víctima envíe un mensaje malicioso que el atacante proporcionó directamente o publicó en algún lugar para que las víctimas lo descubran y utilicen.

Alternativamente, se podría utilizar un GPT malicioso, como demostró Rehberger, y los usuarios que utilicen ese GPT no notarían el ataque. Los detalles de sus conversaciones con metadatos (fecha y hora, ID de usuario, ID de sesión) y datos técnicos (dirección IP, cadenas de agentes del navegador) se roban y se envían a terceros.

Fallo de seguridad de OpenAI ChatGPT

La falla de seguridad aún existe

Después de que Rehberger revelara el problema, OpenAI respondió a la situación e implementó comprobaciones del lado del cliente. Esto se realiza llamando a una API de validación para evitar que se muestren imágenes desde URL inseguras.

Más tarde, el investigador reveló que, en algunos casos, ChatGPT todavía procesa solicitudes de dominios arbitrarios. Esto significa que el ataque puede seguir funcionando a veces, observándose discrepancias incluso cuando se prueba el mismo dominio.

Todavía hay 2 puntos que parecen ser una posible fuente de problemas. Tanto la versión de iOS como la de Android no parecen tener aún implementados estos nuevos mecanismos de verificación, lo que deja a estas dos aplicaciones vulnerables. Sin embargo, OpenAI debería implementar las correcciones pronto y así proteger ChatGPT de una vez por todas.

Ana Gomez

Ana Gómez. Nació en Asturias pero vive en Madrid desde hace ya varios años. Me gusta de todo lo relacionado con los negocios, la empresa y los especialmente los deportes, estando especializada en deporte femenino y polideportivo. También me considero una Geek, amante de la tecnología los gadgets. Ana es la reportera encargada de cubrir competiciones deportivas de distinta naturaleza puesto que se trata de una editora con gran experiencia tanto en medios deportivos como en diarios generalistas online. Mi Perfil en Facebookhttps://www.facebook.com/ana.gomez.029   Email de contacto: ana.gomez@noticiasrtv.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *