TECNOLOGIA

OpenAI se asocia con Yubico para introducir claves de seguridad de hardware para ChatGPT y deshabilitar el inicio de sesión con contraseña para usuarios de alto riesgo

Foto de Redacción - ACN Redacción - ACN Enviar un correo electrónico 2 días hace
0 6 7 minutos de lectura

TL; DR

OpenAI presentó Advanced Account Security para ChatGPT y Codex, una función de participación voluntaria que reemplaza las contraseñas con claves de acceso o claves de seguridad de hardware, deshabilita la recuperación de correo electrónico y SMS y excluye automáticamente a los usuarios de la capacitación del modelo. La compañía se asoció con Yubico para vender YubiKeys de marca compartida por $68 (paquete de dos), menos de la mitad del precio minorista. La función está dirigida a periodistas, disidentes y funcionarios, y será obligatoria para el acceso confiable a los miembros cibernéticos a partir del 1 de junio.

OpenAI ha lanzado una función de seguridad para las cuentas ChatGPT que las trata de la misma manera que los bancos tratan la banca en línea: claves de hardware, sin contraseñas, sin recuperación de correo electrónico y sin ayuda del servicio de atención al cliente si pierde el acceso. Una característica llamada Seguridad avanzada de cuenta es una configuración opcional que requiere que los usuarios se autentiquen con dos claves de acceso, dos claves de seguridad de hardware o una de cada una antes de iniciar sesión en ChatGPT o Codex. Una vez habilitado, el inicio de sesión basado en contraseña se desactiva permanentemente y ya no es posible recuperar la cuenta por correo electrónico o mensaje de texto. OpenAI se asoció con la empresa sueco-estadounidense de autenticación de hardware Yubico para vender YubiKeys de marca compartida por 68 dólares, menos de la mitad del precio minorista de 126 dólares. La función está disponible para todos, incluidos los usuarios de la capa gratuita. La compañía dice que está diseñada para periodistas, disidentes políticos, investigadores y funcionarios electos. Pero el hecho de que OpenAI lo haya creado es un reconocimiento de que una cuenta ChatGPT, para un número cada vez mayor de personas, ahora contiene más información confidencial que su correo electrónico.

¿Qué hace?

Advanced Account Security reemplaza todos los mecanismos convencionales de inicio de sesión y recuperación con autenticación criptográfica. Los usuarios que habiliten esto deben registrar dos certificados separados de claves de acceso, YubiKeys u otros tokens de hardware compatibles con FIDO2, o una combinación, almacenados en su dispositivo. Cada certificado genera un par de claves criptográficas único que nunca sale del dispositivo, lo que significa que no hay contraseñas que robar, códigos de un solo uso que interceptar ni correos electrónicos de recuperación que un atacante pueda comprometer mediante ingeniería social. El diseño de OpenAI dejó clara la compensación: si el usuario pierde ambas credenciales, su propio equipo de soporte no puede recuperar el acceso a una cuenta protegida por Advanced Account Security. La empresa emite una clave de recuperación durante la configuración y, si esa clave también se pierde, la cuenta no se puede recuperar. La arquitectura se basa en los mismos principios de confianza cero que protegen los sistemas gubernamentales clasificados y las billeteras de criptomonedas, aplicados a un chatbot de consumo.

La característica incluye varias salvaguardas secundarias. La sesión de inicio de sesión se acorta, lo que reduce la ventana durante la cual se puede utilizar un token de sesión robado. Los usuarios reciben alertas por cada nuevo inicio de sesión y pueden ver y cerrar sesiones activas desde la configuración de su cuenta. Al habilitar la Seguridad avanzada de la cuenta, el usuario automáticamente excluye la capacitación del modelo, lo que significa que sus conversaciones no se usarán para mejorar futuras versiones de ChatGPT. Este último detalle es significativo: combina el más alto nivel de protección de cuentas con el más alto nivel de privacidad de datos, creando una capa de usuarios cuyas interacciones con el sistema están protegidas criptográficamente y contractualmente excluidas del proceso de capacitación de OpenAI. Para los usuarios que manipulan material sensible, la combinación aborda dos preocupaciones simultáneamente.

¿Por qué es importante?

Espacio de coworking de TNW City: donde ocurre tu mejor trabajo

Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.

La actualización de seguridad se produce en un contexto que deja claro su propósito. En 2024, Group-IB, una empresa de ciberseguridad con sede en Singapur, identificó más de 100.000 certificados ChatGPT robados que circulaban en mercados de la web oscura, recopilados de dispositivos comprometidos por malware de robo de datos. Estas credenciales daban a cualquiera que las comprara acceso completo al historial de chat de la víctima, que para muchos usuarios incluía conversaciones laborales confidenciales, preguntas personales e información que sería perjudicial si se divulgara. Una infracción separada que involucró a Mixpanel, un proveedor de análisis externo, expuso los nombres de usuario, direcciones de correo electrónico y metadatos técnicos de ChatGPT que podrían usarse para campañas de phishing específicas. El impulso más amplio de la industria hacia la autenticación sin contraseña está impulsado por el reconocimiento de que las contraseñas son la mayor superficie de ataque en la tecnología de consumo: se estima que el 46 por ciento de todos los ciberataques exitosos a pequeñas y medianas empresas en 2026 se derivarán de la reutilización de credenciales, según una investigación de la industria.

La vulnerabilidad de ChatGPT es única debido a lo que hay en la cuenta. Una cuenta de correo electrónico contiene mensajes. Una cuenta bancaria contiene un registro de transacciones. Una cuenta ChatGPT contiene preguntas anónimas que una persona hace cuando cree que nadie está mirando: síntomas médicos, exposiciones legales, problemas de relaciones, estrategias comerciales, código con lógica patentada y conversaciones con un sistema de inteligencia artificial que recuerda el contexto a lo largo de las sesiones. La función Codex Chronicle de OpenAI, que captura periódicamente capturas de pantalla del escritorio del usuario y las envía a los servidores de OpenAI para su procesamiento, hace que el stock de datos sea aún mayor para quienes así lo deseen. La empresa está aumentando simultáneamente la cantidad de información confidencial que recopilan sus productos y construyendo infraestructura de seguridad. La seguridad avanzada de la cuenta es el lado de seguridad de esa ecuación.

contrato UBICO

La asociación con Ubico es comercial y estratégica. Los dos productos de marca compartida, YubiKey C NFC y YubiKey C Nano, son físicamente idénticos a la línea de productos existente de Yubico, pero llevan la marca OpenAI y se venden a través de los canales de OpenAI a precios subsidiados. El modelo C NFC admite comunicación USB-C y de campo cercano, lo que le permite trabajar con computadoras portátiles, teléfonos y tabletas. El modelo C Nano es lo suficientemente pequeño como para insertarlo permanentemente en un puerto USB-C. Ambos son compatibles con FIDO2, el estándar de autenticación desarrollado por FIDO Alliance que sustenta las claves de acceso y respaldado por Apple, Google y Microsoft. El paquete de $68 por dos llaves representa un descuento significativo: una sola YubiKey C NFC se vende por alrededor de $55, lo que efectivamente convierte al paquete en una oferta de compre uno y llévese otro.

La decisión de OpenAI de subsidiar la autenticación de hardware para sus usuarios refleja un cálculo del costo de comprometer la cuenta. Una violación de alto perfil de una cuenta ChatGPT por parte de un periodista, funcionario gubernamental o ejecutivo corporativo creará un daño a la reputación que supera con creces el valor de las claves de seguridad comprometidas. Al hacer que la autenticación de hardware sea barata y accesible, OpenAI está trasladando la carga de la seguridad de una contraseña que puede ser objeto de phishing a un objeto físico que debe ser robado. La estrategia refleja lo que Google implementó internamente en 2017, cuando la compañía distribuyó YubiKeys a sus 85.000 empleados y posteriormente no informó de ningún ataque de phishing exitoso contra las cuentas de los empleados. OpenAI está aplicando la misma lógica a su base de usuarios, aunque de forma obligatoria, con una excepción: los miembros del programa Trusted Access for Cyber ​​​​, que brinda a investigadores y defensores de seguridad verificados acceso a los modelos de ciberseguridad más capaces de OpenAI, deben habilitar la seguridad Advanced Account2 antes del 16 de junio.

señal

El significado más profundo de la Seguridad Avanzada de Cuenta no es la característica sino lo que significa acerca de la categoría. Cuando una empresa crea seguridad de nivel bancario para un chatbot, le está indicando que el chatbot ya no es un juguete. OpenAI ahora opera una estructura de suscripción de seis niveles que va desde cuentas gratuitas con publicidad hasta contratos empresariales personalizados, con 50 millones de suscriptores de pago y 900 millones de usuarios activos semanales. Una fracción significativa de estos usuarios considera ChatGPT como una herramienta de trabajo principal, un asesor confidencial o ambas cosas. Las conversaciones almacenadas en estas cuentas son, colectivamente, uno de los conjuntos de datos más valiosos de la intención humana: lo que la gente quiere saber, lo que les preocupa, lo que están creando y lo que ocultan. Proteger ese conjunto de datos no es una característica. Es una necesidad empresarial.

El modelo de participación voluntaria es a la vez una fortaleza y una limitación. Los usuarios que necesitan la seguridad de cuenta más avanzada, los disidentes en países autoritarios, los periodistas de investigación en instituciones poderosas, los ejecutivos que discuten sobre productos no revelados, también son los más propensos a habilitarla. Pero la mayoría de los 900 millones de usuarios semanales de ChatGPT nunca alternarán la configuración, lo que significa que sus cuentas estarán protegidas por la contraseña que elijan cuando se registren, la reutilizarán desde otro servicio y no cambiarán desde entonces. Las campañas de phishing impulsadas por IA ahora pueden generar cientos de mensajes dirigidos por minuto, cada uno de ellos adaptado a una víctima específica, y el punto de entrada más común sigue siendo una contraseña robada o adivinada. OpenAI ha construido la infraestructura para proteger esas cuentas críticas. Si las cuentas que no se inscriben se convertirán en objetivos fáciles es una pregunta que la característica no responde. Lo que esto responde, aparentemente, es que OpenAI considera una cuenta ChatGPT como un activo de alto valor para proteger con las mismas herramientas utilizadas para proteger los secretos de estado y los sistemas financieros. La empresa que facilitó que cualquiera pudiera hablar con la IA ahora ha hecho posible que cualquiera pueda bloquear esa conversación detrás de un hardware que no puede ser objeto de phishing. La brecha entre estos dos grupos demográficos determinará cómo se desarrollará la próxima ola de infracciones relacionadas con la IA.

Source link

Foto de Redacción - ACN Redacción - ACN Enviar un correo electrónico 2 días hace
0 6 7 minutos de lectura
Foto de Redacción - ACN

Redacción - ACN

Somos un portal de noticias líder en la República Dominicana que se especializa en ofrecer una cobertura informativa integral. Desde eventos políticos y económicos hasta avances científicos y noticias de entretenimiento, este sitio web es tu fuente confiable para mantenerse al día con los acontecimientos más relevantes tanto a nivel nacional como internacional. Además de ofrecer informes actualizados, ACN también se destaca por sus análisis en profundidad y sus entrevistas exclusivas que proporcionan una comprensión más completa de las noticias.

Artículos Relacionados

Foto de Los nuevos laboratorios de ByteDance presentan la primera terapia diseñada con IA mientras la empresa matriz de TikTok ingresa en la carrera por el descubrimiento de fármacos

Los nuevos laboratorios de ByteDance presentan la primera terapia diseñada con IA mientras la empresa matriz de TikTok ingresa en la carrera por el descubrimiento de fármacos

34 minutos hace
Foto de La demanda de Musk contra OpenAI llega aproximadamente en la primera semana

La demanda de Musk contra OpenAI llega aproximadamente en la primera semana

2 horas hace
Foto de GameStop está preparando una oferta por eBay mientras Cohen persigue una valoración de 100.000 millones de dólares

GameStop está preparando una oferta por eBay mientras Cohen persigue una valoración de 100.000 millones de dólares

3 horas hace
Foto de Australia apuesta 22.700 millones de dólares en energías renovables después de que la crisis de Ormuz exponga la peor vulnerabilidad energética del mundo

Australia apuesta 22.700 millones de dólares en energías renovables después de que la crisis de Ormuz exponga la peor vulnerabilidad energética del mundo

10 horas hace

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Volver arriba botón