¿Por qué OpenAI desactivó los mecanismos de protección integrados del sistema Apple?
Recientemente, se descubrió que la aplicación oficial de ChatGPT para macOS contenía durante mucho tiempo una grave vulnerabilidad relacionada con la seguridad de los datos de los usuarios. Hasta hace poco, los chats de los usuarios se almacenaban en sus computadoras sin ningún tipo de cifrado, literalmente como texto simple, lo que podría poner en riesgo la confidencialidad de la información.
El investigador de seguridad Pedro José Pereira Vieito demostró lo fácil que era acceder a estos archivos. Creó una aplicación que permitía leer las conversaciones con ChatGPT en tiempo real simplemente cambiando el nombre del archivo. Vieito compartió su aplicación publicando un video que mostraba cómo su programa leía los chats con solo presionar un botón.
Vieito explicó que se interesó en este tema debido a la negativa de OpenAI a utilizar la protección de sandbox para su aplicación. Según el investigador, desde macOS Mojave 10.14, lanzado hace seis años, Apple bloqueó el acceso de todas las aplicaciones de terceros a los datos personales del usuario. Al mismo tiempo, este acceso solo se podía obtener después de un consentimiento explícito, y las propias aplicaciones debían funcionar en un entorno aislado.
Según informa Vieito, OpenAI por alguna razón se negó a utilizar este enfoque de entorno aislado y almacenó información confidencial como texto simple en una ubicación desprotegida, desactivando todas las medidas de protección integradas de macOS. Este hecho interesó al investigador y rápidamente descubrió la vulnerabilidad descrita anteriormente.
Después de que los periodistas contactaran a OpenAI sobre este problema, la compañía respondió rápidamente y lanzó una actualización que ahora cifra todos los chats. Taya Christiansen, portavoz oficial de OpenAI, confirmó: «Somos conscientes de este problema y hemos lanzado una nueva versión de la aplicación que cifra todas las conversaciones. Nos esforzamos por proporcionar una experiencia de usuario conveniente mientras mantenemos altos estándares de seguridad a medida que nuestra tecnología evoluciona».
Después de instalar la actualización, la aplicación de Pereira Vieito dejó de funcionar y los chats ya no se muestran como texto simple, lo que significa que el investigador cumplió exitosamente su misión de seguridad, protegiendo a cientos de miles de usuarios de problemas.
Sin embargo, los opositores acérrimos al rastreo aún encontrarán motivos para criticar a OpenAI, ya que la compañía todavía puede revisar selectivamente las conversaciones de los usuarios con ChatGPT para garantizar la seguridad y entrenar sus modelos, a menos que los usuarios hayan optado explícitamente por no participar. Sin embargo, dicho acceso no debería extenderse a terceros desconocidos.
Aunque el problema identificado era bastante grave, no afectaba a todos los datos en la computadora del usuario, limitándose solo a la aplicación ChatGPT. Esto mitiga parcialmente la situación, pero subraya la importancia de actualizar oportunamente las aplicaciones para garantizar la seguridad de los datos.