Durante el periodo de un año desde junio de 2022 hasta mayo de 2023, se descubrieron en el inframundo de la web oscura, más de 101.100 credenciales de cuentas OpenAI ChatGPT comprometidas. India lideró la lista con 12.632 credenciales robadas.
Estos hallazgos, que corresponden a datos robados puestos en venta en mercados clandestinos de ciberdelincuencia, fueron presentados por Group-IB, una firma de seguridad con sede en Singapur, en un informe a The Hacker News. En mayo de 2023, el problema alcanzó su punto máximo con un total de 26.802 cuentas ChatGPT comprometidas en los registros.
La firma también señaló que la región Asia-Pacífico fue la más afectada, sin embargo, otros países como Pakistán, Brasil, Vietnam, Egipto, Estados Unidos, Francia, Marruecos, Indonesia y Bangladesh también tuvieron un número significativo de cuentas ChatGPT comprometidas.
El análisis detallado del informe desveló que la mayoría de las cuentas ChatGPT fueron comprometidas por tres bandas: Raccoon, responsable de 78.348 casos, Vidar con 12.984 y RedLine con 6.773. Estos actores se han destacado en la ciberdelincuencia por su habilidad para robar contraseñas, cookies, datos de tarjetas de crédito y otras informaciones sensibles de los navegadores y extensiones de monederos de criptomonedas.
Group-IB indicó que los registros con información robada se comercializan activamente en los mercados oscuros de la web. Los compradores potenciales tienen acceso a datos adicionales en estos mercados, como listas de dominios y detalles sobre la dirección IP del host comprometido.
Estos mercados operan bajo un modelo de precios basado en suscripciones, lo que ha facilitado el acceso a la ciberdelincuencia. A su vez, sirven como vías para perpetrar ataques futuros usando las credenciales robadas.
Dmitry Shestakov, jefe de inteligencia sobre amenazas de Group-IB, destacó la popularidad creciente de ChatGPT entre las empresas. Sin embargo, advirtió sobre el riesgo potencial, ya que la configuración estándar de ChatGPT guarda todas las conversaciones. Si los actores malintencionados obtienen las credenciales de la cuenta, podrían tener acceso a una mina de oro de información delicada.
Para prevenir tales ataques, Group-IB insta a los usuarios a seguir las mejores prácticas de higiene de contraseñas y a proteger sus cuentas con la autenticación de doble factor (2FA).
Esta revelación se produce en el contexto de una campaña de malware que utiliza páginas falsas de OnlyFans y contenido para adultos para distribuir un troyano de acceso remoto y DCRat, una versión modificada de AsyncRAT.