Un descubrimiento reciente ha revelado un grave fallo de seguridad en la aplicación de escritorio de ChatGPT para computadoras Mac. La vulnerabilidad permite que cualquier hacker acceda a las conversaciones de los usuarios, ya que la app no cifra los mensajes, a diferencia de otras aplicaciones similares.
NOTAS RELACIONADAS
Falta de cifrado
El ingeniero de datos y electrónica Pedro José Pereira Vieito fue quien identificó este fallo. Según explicó, las conversaciones de los usuarios se almacenaban en una ubicación no segura de los ordenadores Mac, concretamente en el directorio `~/Library/Application Support/com.openai.chat/conve… {uuid}/`, sin ningún tipo de cifrado.
Esto significa que cualquier persona con acceso a la computadora, o mediante malware, podría leer las conversaciones de ChatGPT sin necesidad de permisos adicionales.
Vieito también señaló que descubrió la falla porque le pareció curioso que la aplicación no estuviera disponible en la tienda de aplicaciones de Apple, sino únicamente en la página oficial de OpenAI. Esta omisión de cifrado dejó expuestas millones de conversaciones en todo el mundo, representando un gran riesgo de privacidad para los usuarios.
Respuesta de OpenAI
Una vez que OpenAI fue informada sobre la vulnerabilidad, la empresa se apresuró a lanzar una actualización de la aplicación que incluye cifrado para las conversaciones. Sin embargo, este incidente pone en evidencia la importancia de implementar medidas de seguridad robustas desde el inicio, especialmente en aplicaciones que manejan datos sensibles.
Andreas Müller, experto en seguridad informática, argumentó que este problema también podría atribuirse a macOS, ya que un sistema operativo debería prevenir este tipo de vulnerabilidades. Sin embargo, Vieito respondió que desde macOS Mojave 10.14, los usuarios deben aceptar explícitamente el tratamiento de datos personales, algo que OpenAI no implementó correctamente al deshabilitar las defensas integradas del sistema operativo y prescindir del entorno seguro conocido como “sandbox”.
¿Qué significa un chat no cifrado?
El cifrado de datos es un proceso esencial que convierte la información en un formato ilegible mientras viaja por la red, de manera que solo el emisor y el receptor autorizados pueden descifrarla utilizando una clave específica.
La ausencia de cifrado en las conversaciones de ChatGPT implica que cualquier persona podría interceptar y leer los mensajes sin dificultad, comprometiendo seriamente la privacidad de los usuarios.
