No nos podemos fiar absolutamente de nada de lo que revolotea a nuestro alrededor en Internet. Cualquier página, extensión, aplicación o correo electrónico podría contener malware e infectar nuestros dispositivos de manera inmediata.
Hoy nos vamos a centrar en ChatGPT, pues existen multitud de dominios que se hacen pasar por la compañía para robar las API Keys de los usuarios de OpenAI.
¿Qué es una API Key?
Comencemos por comprender qué es una API Key. En términos simples, una API Key (clave de programación de aplicación) es un código alfanumérico que actúa como un pase de acceso a una interfaz de programación de aplicaciones (API).
Estas claves permiten que las aplicaciones se comuniquen entre sí y accedan a recursos o datos específicos. En el contexto de OpenAI y su plataforma ChatGPT, una API Key es esencial para interactuar con el modelo de lenguaje GPT-3 y aprovechar su potencial.
¿Por qué es tan importante?
Las API Keys son la base de la seguridad y la autenticación en Internet. Son como las cerraduras y las llaves de una casa. Solo aquellos que poseen la llave correcta (la API Key) pueden acceder a los recursos protegidos detrás de la cerradura (la API).
En el contexto de OpenAI, las API Keys permiten a los desarrolladores integrar ChatGPT en sus aplicaciones, sitios web o servicios, lo que otorga una amplia gama de posibilidades, desde chatbots avanzados hasta generación de texto natural.
La importancia de proteger estas claves radica en evitar que personas no autorizadas accedan y utilicen los recursos de ChatGPT de manera indebida.
Aplicaciones y extensiones maliciosas
A pesar de que no se trate de una actividad estrictamente delictiva, es imperativo prestar seria atención a los desarrolladores de aplicaciones que están incorporando el modo «bring your own key» (trae tu propia llave) y solicitan la clave API de OpenAI.
Esto se hace supuestamente con el fin de comunicarse con api.openai.com en nombre del usuario. Sin embargo, es importante reconocer que no existen garantías absolutas de que esta clave no termine siendo filtrada o utilizada de manera inapropiada.
Un ejemplo que ilustra esta preocupación se encuentra en la plataforma web de ChatGPT, alojada en el sitio chat.apple000[.] top. Esta aplicación solicita a los usuarios sus claves API de OpenAI y, en lugar de canalizar la comunicación a través de los servidores legítimos, las redirige a su propio servidor.
Esta aplicación web está vinculada al código fuente abierto en GitHub, a partir del cual fue construida. De hecho, una consulta en Censys, una plataforma de búsqueda de páginas web HTML, revela que más de 6.000 servidores albergan copias de esta aplicación web bajo el título «ChatGPT Next Web».
Sin embargo, no podemos determinar con certeza si estas aplicaciones web fueron creadas con la intención de llevar a cabo campañas de phishing para obtener claves API de OpenAI, o si su exposición en Internet se debió a otras razones.
Lo que está claro es que es altamente desaconsejable proporcionar tu clave de OpenAI a aplicaciones que envíen esta información a servidores de dudosa reputación.
¿Cómo sacan las API Keys de ChatGPT?
Es importante comprender cómo los ciberdelincuentes pueden intentar robar Api Keys. Aquí hay algunas técnicas utilizadas por los atacantes:
Phishing y sitios web maliciosos
Los ciberdelincuentes pueden crear sitios web falsos que imitan a la perfección a la plataforma legítima de OpenAI. Luego, envían correos electrónicos de phishing que llevan a las víctimas a estos sitios web falsos, donde se les pide que ingresen sus credenciales de API Key.
Una vez que los atacantes obtienen esta información, pueden utilizarla para acceder y abusar de los servicios de OpenAI. En este sentido, te recomendamos saber cómo proteger tu correo electrónico.
Ataques de fuerza bruta
Los atacantes pueden intentar adivinar API Keys válidas utilizando ataques de fuerza bruta, donde prueban millones de combinaciones de caracteres hasta encontrar una clave válida. Este método es lento y requiere mucho tiempo, pero puede ser efectivo si se descubre una API Key débil.
Exposición de API Keys en repositorios de código abierto
Los desarrolladores a veces cometen el error de incluir sus API Keys en repositorios de código abierto públicos. Esto significa que cualquier persona puede encontrar y utilizar estas claves si sabe dónde buscar.
Los atacantes pueden rastrear estos repositorios en busca de API Keys y luego utilizarlas para fines maliciosos.
¿Qué hacer para evitar que te roben la API Key?
Ahora que comprendes las posibles amenazas, es hora de aprender cómo proteger tus API Keys de OpenAI y evitar que caigan en manos equivocadas:
Mantén tu API Key en un lugar seguro
Nunca compartas tu API Key en Internet ni en repositorios de código abierto. Mantenla segura en un lugar confidencial y accesible solo para aquellos que la necesitan. Además, es recomendable que uses algun gestor de contraseñas.
Usa autenticación de dos factores (2FA)
Siempre que sea posible, habilita la autenticación de dos factores para tus cuentas en Internet. Esto proporciona una capa adicional de seguridad y evita que los atacantes accedan a tus cuentas incluso si obtienen tu contraseña.
Desconfía de correos electrónicos sospechosos
No hagas clic en enlaces o descargues archivos adjuntos de correos electrónicos sospechosos. Los ciberdelincuentes a menudo utilizan el phishing por correo electrónico para engañar a las víctimas y robar sus credenciales.
Verifica la autenticidad de los sitios web
Antes de ingresar tus credenciales en un sitio web, verifica cuidadosamente su autenticidad. Comprueba la URL y asegúrate de que estés en el sitio web legítimo de OpenAI. Si tienes dudas, en ningún momento introduzcas tus datos.
Conclusiones
Proteger tus API Keys de OpenAI es esencial para garantizar la seguridad de tus aplicaciones y datos. El robo de API Keys por parte de dominios maliciosos es una amenaza real, pero con precaución y prácticas de seguridad sólidas, puedes mantener tus claves a salvo.
Recuerda siempre seguir las mejores prácticas de seguridad en línea y estar alerta ante posibles amenazas en la red de Internet.