Las fallas de seguridad en ChatGPT y sus complementos podrían comprometer miles de cuentas

Los investigadores de ciberseguridad han descubierto vulnerabilidades en los complementos de la plataforma de inteligencia artificial generativa ChatGPT, que podrían permitir a los hackers acceder a los datos confidenciales de miles de cuentas. Estos complementos facilitan la interacción de la plataforma con otros servicios para enriquecer la experiencia del usuario. Los fallos mencionados ya han sido solucionados.

Los investigadores de ciberseguridad de la compañía estadounidense Salt Security han hallado varios defectos de seguridad asociados con los complementos de ChatGPT, que podrían resultar en la filtración de datos y acceso no autorizado a las cuentas de los usuarios. Los complementos de ChatGPT son extensiones integradas que enriquecen la plataforma con más funcionalidades y mejoran la experiencia del usuario. Estos pueden añadir nuevas capacidades de procesamiento de lenguaje natural, realizar búsquedas en línea o conectarse a otros servicios, tales como GitHub, Google Drive o Salesforce.

El hacker puede crear su propio complemento.

En un informe publicado el 13 de marzo, los investigadores de Salt Labs resaltaron tres vulnerabilidades principales, una de las cuales fue identificada directamente en ChatGPT. Este fallo de seguridad utiliza la autenticación OAuth, que permite a un sitio web usar la interfaz de software segura de otro sitio web para que un usuario pueda identificarse.

Sin embargo, después de la identificación, “el hacker puede crear su propio complemento, que le indica a ChatGPT que le transfiera casi todos los datos del chat”, según describe el informe. Entonces, el hacker puede enviar un enlace trampa a la víctima para que instale el complemento. Si el destinatario hace clic en él, el hacker puede tener acceso a credenciales, contraseñas… pero también a todas las conversaciones privadas en ChatGPT.

Posibles ataques de 0 clic, sin necesidad de acción por parte de la víctimas

Los investigadores también encontraron un fallo de seguridad en el complemento “AskTheCode”, utilizado por muchos para acceder a los repositorios de GitHub. Este complemento ha sido desarrollado por PluginLab.ai, una plataforma usada por numerosos desarrolladores para crear complementos. Esta vulnerabilidad permite al hacker infiltrarse en la cuenta de GitHub de un usuario.

Después, el hacker puede inyectar el identificador de un usuario objetivo, simplemente con su dirección de correo electrónico, siguiendo la solicitud de OAuth del complemento. Luego puede tomar control de la cuenta del usuario sin que este haga clic en algún enlace (ataque de 0 clic). Tras obtener acceso, el hacker puede acceder a los repositorios privados del usuario en GitHub y sustraer claves API, código fuente y archivos confidenciales.

Se ha identificado una tercera vulnerabilidad en varios complementos, incluido “Charts by Kesem AI”, que no verifica el destino de los tokens OAuth. En este escenario, un hacker solo necesita tomar control del enlace de autenticación y modificarlo antes de enviarlo al usuario objetivo. En cuanto la víctima hace clic en el enlace, el hacker puede acceder a su cuenta de ChatGPT.

Defectos solucionados, aunque comunes

De acuerdo con el informe de Salt Labs, estos fallos críticos, detectados en junio de 2023, han sido corregidos desde entonces por OpenAI, PluginLab.AI y Kesem.ai. Hasta el momento, no se ha detectado ninguna explotación de estas vulnerabilidades. “Creemos que algunas de estas vulnerabilidades podrían prevenirse si los desarrolladores fueran más conscientes de los riesgos”, advierte Salt Security. También instamos a OpenAI a poner un mayor enfoque en la seguridad en su documentación para desarrolladores.

No es la primera vez que se descubren vulnerabilidades en ChatGPT. En diciembre de 2023, por ejemplo, investigadores de la Universidad de Indiana lograron recuperar las direcciones de correo electrónico profesionales y personales de aproximadamente treinta empleados del New York Times. Manipularon el “ajuste fino” de la API de ChatGPT-3.5 Turbo, que permite a un LLM recibir información más detallada sobre un dominio, y obtuvieron estas direcciones de correo a partir de consultas sobre algunos nombres y direcciones de periodistas.

BLOG