El presente análisis es un documento de máxima utilidad preventiva y para aprender; tanto en los casos de usuarios avanzados interesados en la materia, como para los básicos y ocasionales en ánimo o con propositos de enriquecer sus conocimientos, saber más y estar al día.

Principales riesgos y consecuencias asociados al uso del ChatGPT Atlas, según ESET

Inyección rápida: La inyección de prompts es uno de los principales riesgos en navegadores integrados con GenAI. El contenido malicioso puede ocultarse en la página visitada, en URL o incluso en imágenes manipuladas. Cuando el navegador interpreta esta información oculta, su comportamiento puede alterarse: desde proporcionar datos sensibles a atacantes, mostrar contenido distinto al esperado, hasta modificar sus ajustes para ser más permisivo en etapas posteriores del ataque.

Filtración de datos sensibles: Entre las funciones del navegador está el relleno de formularios de forma automatizada, lo que significa que, si una página maliciosa solicita datos que normalmente se solicitan en estos formularios, como nombre completo, teléfono, dirección, entre otros, el navegador puede proporcionarlos sin necesidad de validaciones adicionales.

Acceso excesivo a datos personales: Dado que el navegador está integrado de forma nativa con una GenAI, es posible que pueda acceder y procesar el contenido de todas las pestañas abiertas o que hayan estado abiertas. Por ejemplo, si se mantienen abiertas las cuentas de correo en distintos proveedores, una pestaña con el calendario para no perder citas o contactos, el navegador podría utilizar esa información para ejecutar acciones en esas herramientas. Esto puede ser útil en un uso legítimo, pero si se explota de manera maliciosa, podría implicar la exposición de datos sensibles a ciberdelincuentes.

Las integraciones pueden implicar riesgos de privacidad que muchos usuarios no anticipan, incluyendo el acceso a todos los archivos presentes en el dispositivo. De hecho, es posible enviar cualquier archivo como adjunto, y el navegador podría procesarlo sin aplicar controles adicionales, lo que aumenta la exposición de información sensible. 

Destaca Daniel Cunha Barbosa,

          Investigador de Seguridad Informática

                 en ESET Latinoamérica

Memoria del navegador: Dado que el navegador puede interactuar con servicios autenticados, estas sesiones pueden permanecer abiertas indefinidamente. Si ocurre una interacción maliciosa y el navegador tiene varias sesiones activas, los atacantes podrían aprovecharlas para realizar acciones no autorizadas, incluyendo ataques de secuestro de sesión.

Vulnerabilidad ante ataques de phishing: Los ataques de phishing representan una amenaza significativa en navegadores que procesan contenido antes de mostrarlo en pantalla. Aunque existen ciertos indicadores para diferenciar un sitio legítimo de uno fraudulento, aún no se han identificado mecanismos eficientes para hacerlo. Esta falta de detección facilita la interacción con contenido malicioso, lo que beneficia a los ciberdelincuentes.

Omnibox vulnerable a comandos maliciosos: La Omnibox es la funcionalidad de la barra de direcciones que permite ingresar tanto URLs como términos de búsqueda, ofreciendo resultados relevantes en ambos casos. En el contexto de ChatGPT Atlas, existe el riesgo de que los usuarios sean engañados para hacer clic en comandos disfrazados de URLs. Estos comandos pueden alterar el comportamiento del navegador o redirigir a las víctimas hacia sitios web controlados por ciberdelincuentes.

Falta de transparencia en la ejecución de las acciones: Este punto resume la mayoría de las preocupaciones de seguridad relacionadas con este navegador. Al contar con capacidades automatizadas basadas en IA, muchas de las acciones que realiza no son visibles ni controlables por el usuario. Esto incluye desde interacciones con contenido malicioso en páginas web hasta el procesamiento de información personal o sensible, que incluso podría utilizarse como parte de modelos de entrenamiento o en respuestas futuras a otros usuarios. Idealmente, este tipo de navegador debería ofrecer configuraciones explícitas para cada funcionalidad que pueda comprometer la seguridad o privacidad del usuario.

Ausencia de estándares de divulgación de vulnerabilidades: Al igual que cualquier otro tipo de software, los navegadores integrados con IA pueden tener vulnerabilidades que afectan su funcionamiento. Esto hace necesario que la propia OpenAI disponga de formas de revelar estas vulnerabilidades para poder trabajar en una solución y actualización de software. Muchas vulnerabilidades permiten a los ciberdelincuentes controlar los dispositivos sin tener que interactuar con sus víctimas.

Inyección en portapapeles: La manipulación de portapapeles es un recurso utilizado por varios tipos de malware y suele estar destinada a robar información. Los troyanos suelen usar esta función al atacar carteras de criptomonedas; cuando la víctima copia la dirección de la cartera a la que quiere enviar fondos, el troyano la cambia y coloca la cartera de los ciberdelincuentes; cuando la víctima va a pegar la información y completa la transferencia, los fondos se envían a los delincuentes.

Inyección de Reconocimiento Óptico de Caracteres (OCR): La interpretación de texto oculto en imágenes como comandos válidos representa un riesgo emergente. Aunque la capacidad de reconocer contenido en imágenes no es nueva, el problema surge cuando esta función se utiliza con fines maliciosos. Es posible incrustar instrucciones ocultas en imágenes, invisibles para el ojo humano, que el navegador interprete como comandos válidos. Esto puede modificar su comportamiento de manera similar a una inyección de prompts.

Hay mejoras aplicadas

-Es importante conocer que, consciente de los riesgos asociados al nuevo producto, OpenAI ha adoptado medidas para mejorar la seguridad del navegador Atlas. Estableció limitaciones de agentes, Atlas no puede ejecutar código, descargar archivos, instalar extensiones, acceder a otras aplicaciones ni a información del dispositivo local sin acceso a contraseñas ni autocompletado. Además, el agente no puede acceder a contraseñas guardadas, datos autocompletados ni memorias internas fuera de su alcance. En cuanto al historial y control de navegación, el usuario puede borrar historial, memorias y definir qué sitios son visibles para ChatGPT, incluyendo la opción de bloquear la IA con un solo clic. Por otro lado, para que Atlas recuerde páginas visitadas, el usuario debe habilitar la función (desactivada por defecto). Asimismo, las interacciones no se usarán para entrenamiento de modelos, salvo que el usuario lo autorice explícitamente cuidando la privacidad. Y, finalmente, reforzaron la protección para sitios críticos y acciones en sitios sensibles (por ejemplo, bancos) requieren aprobación manual del usuario.

Resumen que concreta las recomendaciones de ESET en materia de ciberseguridad para reducir los riesgos

• No proporcionar datos para entrenamiento: Evitar enviar información sensible que pueda aparecer en interacciones futuras.
• Cumplir con leyes de protección de datos: Especialmente en entornos corporativos (LGPD, GDPR).
• Usar el agente con precaución: Recordar que toma decisiones por / en nombre del usuario; no todas serán seguras.
• Evitar sitios poco confiables: Reduce riesgos de inyección de prompts y otros ataques.
• Utilizar entornos virtuales cuando sea posible: Facilitar la recuperación ante fallos o ataques.
• Capacitar a los usuarios: La formación en seguridad es clave para minimizar riesgos.

“La integración con GenAI es una tendencia inevitable, pero la seguridad debe evolucionar al mismo ritmo. Será responsabilidad de los profesionales y usuarios configurar y usar estas herramientas de forma consciente para reducir los riesgos”, agrega para finalizar Cunha Barbosa de ESET Latinoamérica.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

DOBLE LLAVE

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

Los datos biométricos son vistos, por ejemplo, por la Ley General de Protección de Datos (LGPD) de Brasil, como datos sensibles, y se exige que sean tratados con más discreción que los datos personales. En el caso de la biometría facial, estos datos tienen aún más información que puede presentar características étnicas, convicciones religiosas e incluso aspectos relacionados con la salud de las personas. La ley no estipula qué medios deben aplicarse para dicha protección de datos, sino que basa sus fundamentos en los pilares de la seguridad de la información, valorando su integridad, disponibilidad y confidencialidad, y las empresas deben aplicar todos los esfuerzos necesarios para lograr este objetivo.

“Asumiendo que los datos están adecuadamente protegidos y que todos los procesos están siendo seguidos por quienes almacenarán dichos datos, observando el funcionamiento de algunos de estos edificios y condominios en la ciudad de San Pable, Brasil, me di cuenta de que la comunicación no es clara con los residentes, haciendo entender a algunos que el reconocimiento facial es la única alternativa de acceso y esto no es ni puede ser cierto”, comenta Daniel Cunha Barbosa, Investigador de Seguridad Informática de ESET Latinoamérica.

Los tipos de control de acceso más comunes, son el acceso biométrico por reconocimiento facial, que como ejemplo, la LGPD de Brasil, establece que tales datos pueden ser tratados con normalidad si se cumplen una serie de requisitos, como el consentimiento explícito del interesado, así como el cumplimiento de una serie de obligaciones para proteger los datos. Si el titular se niega a proporcionar sus datos biométricos, las empresas responsables de la seguridad perimetral deberán ofrecer alternativas para el acceso del titular y sus invitados. Otras formas de control de acceso pueden ser a través de huellas dactilares, lectura de tarjetas de proximidad (NFC), PIN numéricos o, en los últimos casos, incluso el uso de una llave.

A la hora de conceder accesos, ya sea adoptando la biometría o alguna medida alternativa, desde ESET se recomienda analizar los mismos.

Posibles incidentes de seguridad que pueden presentarse

Incidentes de seguridad con el titular: Si la persona que tiene un derecho legítimo a entrar en el edificio se encuentra bajo algún tipo de coacción impuesta por terceros, los medios utilizados para autorizar esta entrada no suelen tener repercusión. Ya sea con reconocimiento biométrico facial, biometría de huellas dactilares, tarjeta, PIN o llave, la víctima será coaccionada para usarlo y el resultado sería básicamente el mismo. A su vez, los objetos utilizados para abrir puertas, como llaves y tarjetas, pueden perderse, ser robados o perforados, lo que puede tener impactos muy negativos en la seguridad.

Incidentes de seguridad en un entorno protegido por biometría: Este tipo de escenario es el más preocupante porque suelen tener un impacto alto, y pueden afectar a todos los que forman parte de este entorno.

Incidentes de seguridad en medios digitales, los directamente vinculadas a cuestiones relacionados con el acceso a la estructura, son:

• Registro de uno o varios medios de acceso al entorno para uno o varios delincuentes: permite a los ciberdelincuentes autorizar su propio ingreso por cualquiera de los medios disponibles por el equipo, asegurando el acceso sin necesidad de interacción con otras personas.
• Robo de datos registrales y biométricos: en posesión de datos registrales y biométricos, especialmente biométricos de reconocimiento facial, es posible registrarse, comprar productos e incluso solicitar préstamos, realizando las validaciones necesarias con la imagen recolectada de la víctima.
• Deshabilitar dispositivos o eliminar usuarios de la base: ambas acciones tienen como objetivo evitar que cualquier usuario acceda al entorno, ya sea tanto el digital como el físico.
• Incidentes de seguridad en medios físicos: este tipo de incidentes tiene el agravante de que los delincuentes ya estarán físicamente dentro del entorno y también pueden causar daños a los usuarios y sus bienes.

Mejores prácticas adoptadas para abordar de manera más adecuada la seguridad

Para usuarios:

• Asegurarse de que el entorno cuenta con buenas prácticas de seguridad y protección de datos, ya sean biométricos o no. Si se adoptan métodos alternativos de acceso, como tarjetas de identificación o llaves, asegurarse de que siempre permanezcan en posesión del propietario, sin olvidarlas sin supervisión en ningún lugar.

Para empresas:

• Proteger todos los dispositivos presentes en el entorno con un software de protección robusto, como protecciones de endpoints (antivirus).
• Asegurarse de que todos los usuarios han dado su consentimiento formal para el tratamiento de sus datos personales.
• Instruir a los empleados sobre la necesidad de ofrecer formas alternativas de acceso más allá de la biometría.
• Restringir el acceso a los equipos de control relacionados con el acceso biométrico y los datos personales solo a los empleados que realmente lo necesiten.

Para conocer más sobre este y otros temas relacionados con la seguridad informática visite el portal de ESET: https://www.welivesecurity.com/es/privacidad/son-seguros-controles-acceso-biometricos/

De interés: Científicos urgen medidas ante un calentamiento sin precedentes

DOBLE LLAVE

Con información e imágenes suministradas por ESET Latinoamérica y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

“A lo largo de los años en el mercado de la seguridad la postura sobre este tipo de ataques ha cambiado significativamente. Antes, las empresas se preocupaban muy poco por pensar en soluciones que los eviten, pero actualmente la mayoría de los entornos están en alerta por este tipo de amenazas. Este cambio fue provocado por varios factores, entre ellos, la evolución de la madurez de la seguridad, tanto de los entornos como de los profesionales que trabajan en el área, y el cambio en la forma en que este ataque es utilizado por los delincuentes”, comenta Daniel Cunha Barbosa, Investigador de Seguridad Informática de ESET Latinoamérica.

Actualmente, los ataques DDoS se pueden utilizar de forma aislada, pero suelen utilizarse como complemento de otros ataques, por ejemplo para hacer más convincente la demanda de pago de un ransomware, afectando gravemente a los servicios de la empresa objetivo y causando un impacto directo en la percepción de los clientes que intentan comunicarse con esto(s) servicio(s). Otro punto de cambio se refiere a las protecciones, actualmente es posible adoptar protecciones para este fin con inversiones significativamente menores que hace unos años, estas protecciones pueden incluso estar disponibles en algunos entornos y solo es necesario habilitarlas.

La detección de este ataque no es una tarea trivial cuando el entorno no es motorizado mediante soluciones preconfiguradas para monitorizarlo. Generalmente, los ataques se notan cuando alguien intenta hacer uso del servicio e identifica lentitud o falta de disponibilidad. Idealmente, la detección más adecuada se basa en dos pilares principales: un equipo técnico capaz de identificar periodos de estabilidad y la parametrización de las soluciones de seguridad en función del resultado de esta identificación.

Existen muchos tipos de soluciones que permiten afrontar el ataque con una tasa de éxito muy alta

Entre las soluciones destacadas por ESET, se encuentran:

Filtrado de tráfico: Un claro ejemplo de esta posibilidad de adaptar las soluciones existentes para frenar los ataques DDoS es el filtrado de tráfico, ya sea realizado por firewalls que las empresas comúnmente ya tienen en sus entornos o por equipos específicos destinados a este fin.

Por lo general, los filtros utilizan reglas predefinidas para evitar que se permitan ciertos tipos de tráfico, evitando así solicitudes excesivas de una o más fuentes, formatos de solicitud no convencionales para ciertos tipos de servicios, tamaños de paquetes excesivos y otros tipos de enfoques maliciosos. Una ayuda valiosa en bloqueos de este tipo es apoyarse en soluciones basadas en el comportamiento para realizar los bloqueos, esto permitirá que los usuarios legítimos puedan acceder al servicio mientras bloquean a los atacantes.

Equilibrio de carga: El equilibrio puede producirse de varias maneras, ya sea haciendo que más de un enlace de Internet esté disponible y alternando su acceso a través de la configuración de DNS, o mediante el uso de un clúster de alta disponibilidad que dirija el servicio a uno de los otros nodos si el nodo actual no responde correctamente.

Servicios expertos de protección DDoS: También conocidos como Content Delivery Networks (CDN), estos servicios reúnen una serie de características útiles a la hora de detener los ataques DDoS. Entre las más valiosas se encuentran la segregación de tipos de acceso -mencionada en el filtrado de tráfico- permitiendo que solo se evite que los atacantes se comuniquen con el servicio, además de una estructura de red extremadamente robusta capaz de soportar ataques que pueden alcanzar más de 1 Terabit por segundo, algo difícil de lograr sin una estructura especializada.

Adopción de servicios en la nube: La transferencia de puntos críticos de la estructura interna a servidores o servicios en la nube ayuda a resistir los ataques DDoS, sin embargo, desde ESET señalan que no existe una solución mágica. El punto beneficioso es que suele ser más capaz de manejar una mayor cantidad de tráfico, sin embargo, es necesario asegurarse de contratar servicios que ofrezcan protección específica contra DDoS o que permitan la contratación de servicios de terceros que sean capaces de realizarlo. Es muy importante leer detenidamente los contratos de servicios para entender hasta dónde llegará la responsabilidad del proveedor de servicios en caso de incidencia y, sobre todo, ser conscientes de que la contratación de la nube no suele eximir a los contratistas de las responsabilidades.

Inteligencia de amenazas: Entre la posible información que aporta un proceso de inteligencia de amenazas se encuentran IPs relacionadas con botnets, servidores vulnerables asociados a ciberdelincuentes, vulnerabilidades utilizadas para el acceso inicial o el movimiento lateral, entre muchas otras TTP. Esta información puede ser utilizada como indicadores de compromiso (IoC) o ataque (IoA), y puede ser insertada en soluciones de seguridad con el fin de evitar cualquier interacción de estos orígenes de antemano; además de servir como guía para priorizar qué vulnerabilidades deben abordarse primero para prevenir ataques.

Monitoreo continuo: La protección contra ataques DDoS, o cualquier otro ataque, no depende únicamente de la inserción de alguna herramienta avanzada en el entorno o de la contratación de algún servicio extremadamente especializado. Es necesario que exista una o varias personas capacitadas que realicen un monitoreo constante de las herramientas y servicios disponibles para evitar que ocurra un ataque. Desde ESET recomiendan  entender cómo funciona el entorno en su normalidad y así establecer líneas de base para la detección de anomalías, si bien la tarea se facilita con buenas herramientas, es fundamental que haya una persona ajustando y mejorando el rendimiento de las soluciones.

Respuesta a incidentes: Definir cuáles serán los primeros pasos a dar, quién será el responsable de cada uno de ellos y qué acciones tomará cada uno, quiénes serán los tomadores de decisiones contactados en caso de ser necesario, acciones de contención y recuperación, proveedores a los que se puede contactar para soporte y todas las demás características que se hayan planificado de acuerdo a las necesidades del negocio. ESET recomienda realizar pruebas sobre el plan de respuesta a incidentes para que las personas involucradas estén capacitadas y puedan llevarlo a cabo adecuadamente en caso de un incidente real.

También ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo puede ingresar a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

De interés: ESET acerca soluciones y protección a las pequeñas empresas o negocios hogareños

DOBLE LLAVE

Con información e imagen referencial suministrada por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos