Para cualquiera que Preocupado de que sus cuentas ChatGPT y Codex puedan ser atacadas por atacantes, OpenAI anunció el jueves que está agregando un nuevo nivel opcional de protección de cuenta que agrega una capa adicional de seguridad. Esta característica, denominada Seguridad avanzada de cuentas, impone estrictos controles de acceso que harán que los ataques de apropiación de cuentas sean extremadamente difíciles.
Estos pasos no son una idea nueva en el campo de la seguridad de cuentas. Google, por ejemplo, ofrece el nivel de seguridad de cuenta Protección Avanzada desde hace casi una década. Pero con el rápido desarrollo de los servicios de IA en todo el mundo, existe una necesidad urgente de implementar un conjunto básico de salvaguardias. OpenAI dijo que el lanzamiento es parte de una estrategia de ciberseguridad más amplia anunciada a principios de este mes.
“La gente está recurriendo a la IA para cuestiones muy personales y trabajos cada vez más importantes”, dijo la compañía el jueves en un publicación de blog. “Con el tiempo, las cuentas ChatGPT pueden almacenar contexto personal y profesional sensible y convertirse en el centro de herramientas y flujos de trabajo conectados. Para algunas personas, como periodistas, funcionarios electos, disidentes políticos, investigadores y aquellos que son muy conscientes de la seguridad, lo que está en juego es aún mayor”.
Las personas que habilitan la Seguridad avanzada de cuentas ya no pueden usar contraseñas normales en sus cuentas. En su lugar, deberían agregar dos claves de seguridad físicas o claves de acceso para reducir significativamente el riesgo de un ataque de phishing exitoso. Esta característica también elimina los mensajes de correo electrónico y SMS, así como la ruta hacia la recuperación de la cuenta. En su lugar, los usuarios deben utilizar una clave de recuperación, una clave de acceso de respaldo o una clave de seguridad física. OpenAI dijo que se ha asociado con Yubico para ofrecer planes YubiKey de menor costo a los usuarios de Advanced Account Security.
Cortesía de OpenAi
Lo más importante es que cuando los usuarios habilitan la Seguridad avanzada de la cuenta, ya no pueden buscar ayuda del equipo de soporte de OpenAI para la recuperación de la cuenta, ya que el soporte ya no tiene acceso ni control sobre las opciones de recuperación. De esta manera, los atacantes no pueden intentar ingresar a las cuentas dirigiéndose a los portales de soporte con ataques de ingeniería social.
Advanced Account Security también implementa ventanas y sesiones de inicio de sesión más cortas antes de que los usuarios tengan que iniciar sesión nuevamente en un dispositivo. Y genera alertas cada vez que alguien inicia sesión en una cuenta bloqueada, apuntando al panel para revisar las sesiones activas de ChatGPT y Codex. Además, si bien OpenAI ofrece la opción para que cualquier usuario opte por no utilizar sus conversaciones de ChatGPT para la capacitación de modelos, esta opción de exclusión está habilitada de forma predeterminada para los usuarios de Seguridad avanzada de cuentas.
Los miembros del programa Trusted Access for Cyber de OpenAI, que brinda a los profesionales de la ciberseguridad, investigadores y otros acceso avanzado a nuevos modelos, deberán habilitar la seguridad avanzada de cuentas a partir del 1 de junio o presentar una certificación alternativa de que implementan una autenticación resistente al phishing a través del mecanismo de inicio de sesión único de la compañía.
