Una brecha de seguridad en ChatGPT permitió que se filtrasen datos de los usuarios

ChatGPT filtracion datos personales bancarios

Si eres de los que andan utilizando ChatGPT con bastante frecuencia, entonces sabrás que el pasado 20 de marzo la plataforma estuvo caída por algunas horas. Nos gustaría decir que era únicamente para introducir mejoras, pero lamentablemente no fue así. En principio, la aplicación dejó expuestas algunas conversaciones privadas de otros usuarios, pero OpenAI reveló que la cosa fue más allá.

OpenAI tuvo que tumbar de emergencia su chatbot conversacional basado en IA para evitar un mal mayor. ¿Qué era lo que estaba pasando? Además de las conversaciones filtradas, el error en ChatGPT dejó a la vista los datos de pago de los usuarios Plus, un problema de seguridad bastante gordo. ¿Qué tan grave fue el daño? ¿Están en peligro tus datos? Te lo contamos a continuación.

Información de tus tarjetas de crédito, direcciones y más, la brecha de ChatGPT no fue cualquier cosa

ChatGPT Plus deja expuestos datos bancarios usuarios premium

El martes 21 de marzo reseñamos que ChatGPT sufrió un fallo de seguridad que estuvo activo por varias horas. En aquel momento solo se supo que terceros podían ver parte de las conversaciones privadas que estaban teniendo otros usuarios con el chatbot al mismo tiempo. Esto, debido a un error en una de las bibliotecas de código abierto de ChatGPT. De buenas a primeras el fallo no parecía gran cosa y ya se solucionó. No obstante, el equipo de OpenAI reveló a través de su blog oficial que el error fue más grave de lo esperado.

Durante la ventana de 9 horas que se mantuvo activa la brecha de seguridad, también estuvieron expuestos datos personales y de pago de muchos usuarios premium. Según OpenAI, si un usuario de ChatGPT Plus estuvo activo entre las 10:00 y 19:00 horas del lunes 20 de marzo (hora peninsular española), es posible que otros usuarios Plus pudiesen ver sus datos. Concretamente, el fallo dejaba a la vista la siguiente información:

  • Correo electrónico.
  • Nombre y apellido del suscriptor.
  • Dirección de facturación.
  • Últimos cuatro dígitos de la tarjeta de crédito.
  • Fecha de vencimiento de la tarjeta de crédito.
Lee también:  ¡Cuidado! Si tienes una de estas 13 aplicaciones, podrías estar infectado con Xamalicious

El error parece bastante grave, y ciertamente no es poca cosa, pero OpenAI hizo un llamado a la calma. Primero, porque aseguran que los números completos de las tarjetas de crédito no quedaron expuestos, así que el riesgo de que terceros las utilicen sin permiso es muy bajo; segundo, porque las estimaciones de la compañía apuntan a que solo el 1,2% de los suscriptores de ChatGPT Plus activos durante la brecha de seguridad fueron afectados.

Ante esto, OpenAI asegura que «creemos que la cantidad de usuarios cuyos datos se revelaron a otra persona es extremadamente baja».

Acceder a los datos filtrados por ChatGPT Plus no era sencillo, así que el daño no fue tan grave

filtracion de datos chatgpt no fue tan grave

Siguiendo la idea de la sección anterior, OpenAI explicó que los datos expuestos no estaban a la vista de todos, sino que tenían que cumplirse algunas condiciones previas para poder verlos. Vamos a ejemplificarlo como si fueses tú el afectado.

La primera condición era que solo los usuarios con suscripción a ChatGPT Plus podrían ver tus datos filtrados; la segunda, que otro usuario con suscripción premium estuviese conectado en el mismo momento que tú mientras estuvo activa la brecha; la tercera, que pasaran una de estas dos cosas:

  • Que un tercero recibiese un correo electrónico de confirmación de suscripción, que en realidad era para ti, y lo abriese mientras la brecha estuvo activa.
  • Que un tercero entrara a su panel de usuario en ChatGPT y fuese a la sección «Administrar mi suscripción» mientras la brecha estuvo activa. Podía pasar que la base de datos mostrara tus datos en vez de los de esa persona.
Lee también:  Google eliminó casi 100 fallos de seguridad en Android el mes pasado

Si prestas atención a los ejemplos, verás que la probabilidad de que tus datos se filtraran fue realmente baja, pues había una condición oculta: que las bases de datos de ChatGPT mezclasen tu información con la de la otra persona. Si no pasaba, no quedabas expuesto.

OpenAI ya notificó a los afectados y cerró la brecha

OpenAI cierra brecha de seguridad ChatGPT notifica usuarios afectados

OpenAI informó que todavía están investigando si este error se presentó antes y no únicamente el 20 de marzo. En caso de descubrir indicios, lo notificarán inmediatamente. Asimismo, el laboratorio indicó que la brecha ya fue cerrada y les notificaron a todos los usuarios posiblemente afectados para que tomen acciones. En el comunicado, la empresa agregó lo siguiente:

«Todos en OpenAI estamos comprometidos con proteger la privacidad de nuestros usuarios y mantener sus datos seguros. Es una responsabilidad que nos tomamos muy en serio. Desafortunadamente, esta semana no cumplimos con ese compromiso y con las expectativas de nuestros usuarios. Pedimos disculpas nuevamente a nuestros usuarios y a toda la comunidad de ChatGPT y trabajaremos diligentemente para reconstruir la confianza».

Finalmente, el equipo desarrollador listó las mejoras introducidas en el código de su chatbot para solventar este error y evitar una situación similar:

  • Se probó exhaustivamente la solución introducida para identificar posibles brechas.
  • Se agregaron verificaciones redundantes para garantizar que los datos devueltos por la plataforma coincidan con el usuario solicitante.
  • Se examinaron los registros para asegurar que todos los mensajes solo estén disponibles para el usuario correcto.
  • Se cruzaron diferentes fuentes de datos para identificar con precisión qué usuarios fueron afectados y así poder notificarles.
  • Se mejoró el registro que permite identificar cuándo suceden este tipo de problemas y confirmar completamente que se detuvo el error.
  • Se mejoró la solidez y la escala del clúster de Redis para reducir la probabilidad de errores de conexión en condiciones de carga extrema.
Lee también:  La IA de YouTube cada vez más cerca: ya está en fase de pruebas y podemos ver lo que hace

Nos alegra saber que OpenAI se tomó muy en serio este problema y decidieron parar todo antes de dejar alguna puerta abierta mientras solucionaban. No obstante, lo ocurrido también deja en evidencia que ni siquiera los sistemas de Inteligencia Artificial son perfectos. Al fin y al cabo son aplicaciones, son hechas por humanos y aunque pueden ir mejorando con el tiempo, siempre habrá posibilidad de que algo malo suceda.