En el fascinante y a veces aterrador mundo de la ciberseguridad, una nueva alerta ha salido a la luz: ChatGPT podría ser aprovechado para realizar ataques DDoS (denegación de servicio distribuido) sin siquiera darse cuenta. El adorable modelo de lenguaje que te ayuda a redactar correos o aprender idiomas podría, en teoría, convertirse en un cómplice involuntario de los piratas informáticos.
PUBLICIDAD
Te puede interesar: [¿Cómo usar la inteligencia artificial para resumir textos de forma efectiva?]
¿Cómo?
Todo empieza con un pequeño pero significativo problema en la API de ChatGPT. Según el investigador de ciberseguridad Benjamin Flesch, el lío está en cómo la API maneja las solicitudes HTTP POST en un punto final específico. Suena técnico, pero aquí va la versión más amigable: básicamente, hay un parámetro llamado “urls” que permite a los usuarios incluir una lista de enlaces en sus solicitudes.
El problema es que OpenAI no ha puesto un límite en la cantidad de enlaces que puedes enviar. ¿Qué pasa si un atacante manda miles de enlaces que apuntan al mismo servidor de la víctima? Bueno, los servidores de OpenAI procesan todas esas solicitudes y, sin querer, terminan bombardeando al servidor objetivo con un tsunami de tráfico. Resultado: el servidor de la víctima colapsa y tenemos un clásico ataque DDoS... cortesía (involuntaria) de ChatGPT.
¿Por qué esto es un problema?
Porque los atacantes siempre están buscando nuevas maneras de explotar herramientas tecnológicas para sus fechorías. Este método, en particular, sería diabólicamente ingenioso: en lugar de usar sus propios recursos para lanzar el ataque, estarían abusando de la infraestructura de OpenAI, desviando la culpa y los rastros hacia ellos. Y todo sin tener que construir un ejército de bots.
Según Flesch, esto no es un acertijo imposible de resolver. Hay tres pasos básicos que OpenAI debería tomar para evitar que sus sistemas sean secuestrados para este tipo de ataques:
- Limitar la cantidad de URLs que un usuario puede incluir en una solicitud.
- Evitar solicitudes duplicadas que apunten al mismo enlace una y otra vez.
- Implementar medidas de limitación de velocidad para que un usuario no pueda inundar el sistema con un volumen insano de peticiones.
En términos de ciberseguridad, estas son medidas bastante estándar y fáciles de aplicar. Así que, OpenAI, ¿qué están esperando?
PUBLICIDAD
Te puede interesar: [Estas luces inteligentes ahora podrían convertirse en sensores de movimiento]
El lado oscuro de la IA generativa
No es la primera vez que alguien encuentra formas creativas (léase: maliciosas) de usar herramientas de IA generativa como ChatGPT, y no será la última. Hasta ahora, los abusos más comunes han sido “dentro de la casa”, por así decirlo:
- Generar código malicioso para hackear sistemas.
- Crear correos electrónicos de phishing tan convincentes que hasta tu perro podría caer en la trampa.
- Proporcionar instrucciones detalladas para fabricar cosas peligrosas (ejem, bombas caseras).
OpenAI y otros desarrolladores de herramientas de IA han trabajado duro para bloquear este tipo de usos indebidos con salvaguardas, restricciones y mecanismos éticos. Pero como cualquier fanático de los videojuegos te dirá, si pones un muro, alguien intentará encontrar una forma de saltarlo. Así nació el fenómeno del “GenAI jailbreaking”, donde hackers compiten para burlar las restricciones de las herramientas de IA generativa.
Por ahora, OpenAI tiene la oportunidad de adelantarse a los atacantes implementando las soluciones sugeridas por Flesch. Pero esta situación también plantea preguntas más amplias sobre la responsabilidad de las empresas tecnológicas en la seguridad de sus sistemas.
