La Nueva Tienda GPT de OpenAI Puede Conllevar Riesgos de Seguridad de Datos

-
Los desarrolladores de terceros de GPT personalizados (en su mayoría) no pueden ver tus chats, pero pueden acceder, almacenar y potencialmente utilizar algunos otros tipos de datos personales que compartes.



Una nueva tienda de aplicaciones para ChatGPT podría exponer a los usuarios a bots maliciosos, y a otros legítimos que sustraen sus datos a lugares externos inseguros.

El rápido aumento en popularidad de ChatGPT, combinado con la accesibilidad de código abierto de los primeros modelos GPT, los jailbreaks generalizados y aún más soluciones creativas llevaron a una proliferación de modelos GPT personalizados (legítimos y maliciosos) en 2023. Hasta ahora, eran compartidos y disfrutados por individuos experimentadores dispersos en diferentes rincones de Internet.

La tienda GPT, lanzada ayer, permite a los suscriptores de OpenAI descubrir y crear bots personalizados (simplemente, "GPTs") en un solo lugar. Pero estar bajo el paraguas de OpenAI no necesariamente significa que estos proporcionarán los mismos niveles de seguridad y privacidad de datos que el ChatGPT original.

"Una cosa era cuando tus datos iban a OpenAI, pero ahora te estás expandiendo a un ecosistema de terceros", advierte Alastair Paterson, CEO de Harmonic Security, quien escribió una publicación en su blog sobre el tema el 10 de enero. "¿Dónde terminan tus datos? ¿Quién sabe en este punto?"

Parece y Actúa Como ChatGPT, Pero No Es ChatGPT

OpenAI no ha escapado a su cuota de incidentes de seguridad, pero el jardín amurallado de ChatGPT inspira confianza en los usuarios a quienes les gusta compartir información personal con robots.

La interfaz de usuario para los GPTs de la tienda GPT es la misma que la del modelo propietario. Sin embargo, este beneficio para la experiencia del usuario es potencialmente engañoso en lo que respecta a la seguridad.

Paterson "estuvo jugando con esto ayer por un tiempo. Es como interactuar con ChatGPT como siempre, es el mismo contenedor, pero en realidad, los datos que ingresas en esa interfaz se pueden enviar a cualquier tercero, con cualquier uso en mente. ¿Qué van a hacer con esos datos? Una vez que desaparezcan, depende completamente de ellos".

Los desarrolladores externos de estos bots no pueden acceder a todos sus datos. Como aclara OpenAI en sus preguntas frecuentes sobre privacidad de datos, los chats en sí estarán protegidos en gran medida: "Por el momento, los constructores no tendrán acceso a conversaciones específicas con sus GPT para garantizar la privacidad del usuario. Sin embargo, OpenAI está considerando características futuras que proporcionarían a los constructores Mecanismos de análisis y retroalimentación para mejorar sus GPT sin comprometer la privacidad".

Sin embargo, las funcionalidades integradas en API son una historia diferente, ya que "esto implica compartir partes de sus chats con el proveedor externo de la API, que no está sujeto a los compromisos de privacidad y seguridad de OpenAI. Los creadores de GPT pueden especificar las API que se utilizarán". llamado. OpenAI no verifica de forma independiente las prácticas de privacidad y seguridad del proveedor de API. Utilice únicamente las API si confía en el proveedor".



"Si yo fuera un atacante, podría crear una aplicación que lo alentara a cargar documentos, presentaciones, códigos, archivos PDF, y podría parecer relativamente benigno. Incluso podría alentarlo a publicar datos de clientes o IP u otro material confidencial que pueda y luego utilizarlo contra empleados o empresas", afirma Paterson.

Además, como la empresa planea monetizar en función del compromiso, los atacantes podrían intentar desarrollar ofertas adictivas que oculten su malicia. "Va a ser interesante si ese modelo de monetización va a impulsar algunas aplicaciones malas", afirma.

Más aplicaciones, más problemas

OpenAI no es la primera empresa con una tienda de aplicaciones. Sin embargo, es una cuestión cuyos controles sean tan estrictos como los de Apple, Google y otros.

En los dos meses transcurridos desde que OpenAI introdujo GPT personalizables, afirma la compañía, los miembros de la comunidad ya han creado más de 3 millones de nuevos bots. "Parece un proceso de verificación muy sencillo para obtener una aplicación en ese mercado", afirma Paterson.

En una declaración a Dark Reading, un representante de OpenAI le dijo a Dark Reading: "Para ayudar a garantizar que los GPT cumplan con nuestras políticas, hemos establecido un nuevo sistema de revisión además de las medidas de seguridad existentes que hemos incorporado a nuestros productos. La revisión El proceso incluye revisión tanto humana como automatizada. Los usuarios también pueden informar GPT".

A pesar de sus preocupaciones sobre el proceso de investigación, Paterson admite que una posible ventaja de la creación de la tienda de aplicaciones es que puede elevar el listón de las aplicaciones de terceros. "Tan pronto como salió ChatGPT, hubo una gran cantidad de aplicaciones de terceros para funciones básicas como chatear con archivos PDF y sitios web, a menudo con una funcionalidad deficiente y medidas de seguridad y privacidad dudosas", dice. "Una esperanza para la tienda de aplicaciones sería que las mejores lleguen a la cima y sean más fáciles de descubrir para los usuarios".

Paterson dice que eso no significa que las aplicaciones serán necesariamente seguras. "Pero espero que los más populares empiecen a tomarse en serio la protección de datos y tengan más éxito", añade.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más