OpenAI sufrió un hackeo, pero no temas por tus datos

El volumen de datos, más o menos sensibles, que pasan cada minuto por los servidores de OpenAI, y que son procesados por sus múltiples modelos de inteligencia artificial, asustaría a cualquiera. El gran éxito de sus servicios, ya sean ofrecidos por la propia compañía o por terceros que emplean sus APIs, dan lugar a un volumen de tráfico en el que, con toda probabilidad, podemos encontrar todo tipo de datos que no deberían caer en manos de terceros.

Es por eso que, como ya has visto, he titulado esta noticia indicando, directamente, que nadie debe preocuparse por el hackeo sufrido por OpenAI y del que informa Mashable. O, al menos, nadie debe preocuparse en primera instancia, y esto es así por dos razones. La primera es que, aunque el ataque ha trascendido ahora, en realidad se produjo a principios del año pasado. Sí, en el primer pico de popularidad de ChatGPT, pero cuando su nivel de implantación no era tan masivo como en la actualidad y, esto es muy importante, cuando su chatbot todavía no era multimodal.

Ahora bien, y aún más importante para mantener la tranquilidad, es saber que el atacante no obtuvo acceso a los sistemas centrales que impulsan los algoritmos y el framework de OpenAI, por lo que ni los datos de los usuarios ni la información procesada por los modelos de la compañía resultaron accesibles para el mismo. Y esta es, precisamente, la razón que esgrime OpenAI para justificar el no haber informado en su momento sobre este fallo de seguridad.

Dicho esto, hecha la aclaración de que la información empleada por los usuarios y sus datos personales no se han visto comprometidos, creo que sí que hay espacio para el reproche a la actitud de OpenAI, pues ocultar un problema de seguridad durante cerca de año y medio, argumentando que los clientes no se vieron afectados por el mismo, supone obviar tanto los criterios de transparencia informativa que deberían imperar siempre en este tipo de situaciones, como algo peor.

¿A qué me refiero? Pues a algo que es de sobra sabido en el mundo de la ciberseguridad, y es que un primer ataque a un objetivo, aunque éste pueda parecer irrelevante, puede convertirse en una primera fase de un ataque de mayor escala. Un ataque exitoso nos puede revelar bastante información útil para escalarlo hacia otros objetivos. Así, cualquier ataque exitoso debe desencadenar, de inmediato, una revisión inmediata y exhaustiva de toda la infraestructura, tanto por la posibilidad de que el problema se replique en otros elementos de la infraestructura, como porque la información obtenida del mismo puede convertirse en una llave para evolucionar el ataque.