Un grupo de ciberdelincuentes ha logrado explotar una vulnerabilidad en ChatGPT activa desde enero, identificada como CVE-2024-27564 y clasificada como de riesgo medio. Esta brecha ha permitido a los atacantes inyectar enlaces maliciosos y acceder a información sensible, poniendo en peligro principalmente a instituciones financieras.
Lo más alarmante es que esta vulnerabilidad estuvo activa durante meses y fue explotada en más de 10.000 ataques en solo una semana, sin que se implementaran medidas correctivas efectivas a tiempo. Aunque se considera una vulnerabilidad de riesgo medio, los atacantes lograron causar un serio problema de seguridad conocido como SSRF (Server-Side Request Forgery, por sus siglas en inglés).
¿Cómo funciona el ataque?
Llevar a cabo un ataque de este tipo no es tan complicado como parece. Básicamente, el atacante primero detecta la vulnerabilidad (en este caso, la CVE-2024-27564) y luego encuentra la manera de manipular las URLs del usuario o ejecutar solicitudes HTTP a su favor.
La siguiente fase del ataque es donde los hackers realmente sacan provecho. Aquí es cuando crean una solicitud URL diseñada para acceder a recursos internos o datos sensibles. Luego, aprovechan la vulnerabilidad para que el servidor acepte y procese esa solicitud sin darse cuenta.
El resultado es que toda esa información interna termina en manos de los atacantes, quienes pueden usarla para fines maliciosos. En pocas palabras, este tipo de ataque permite que los ciberdelincuentes inserten enlaces maliciosos y obliguen a ChatGPT a realizar solicitudes arbitrarias, algo que está documentado en la base de datos nacional de vulnerabilidades de Estados Unidos.
Ataques masivos y un impacto preocupante
La reciente investigación reveló que se registraron nada menos que 10.479 intentos de ataque en solo una semana, todos provenientes de una misma dirección IP maliciosa. El informe también señala que alrededor del 35% de las organizaciones están en riesgo debido a sistemas de seguridad mal configurados. Entre los principales puntos débiles se encuentran:
- Sistemas de prevención de intrusiones (IPS)
- Firewalls de aplicaciones web (WAF)
- Cortafuegos tradicionales
Este panorama deja claro que muchos entornos corporativos aún no están preparados para enfrentar este tipo de amenazas.
Ataques en todo el mundo: ¿Dónde ha golpeado más?
Estos ataques no se han quedado en un solo lugar; se han extendido por todo el mundo. La mayor parte de los incidentes se registraron en:
- Estados Unidos – 33%
- Alemania – 7%
- Tailandia – 7%
Otros países como Indonesia, Colombia y el Reino Unido también se vieron afectados. Además, los datos revelan que la actividad de estos ataques aumentó considerablemente en enero, seguida de una disminución gradual en febrero y marzo.
Distribución Geográfica de los Ataques (Fuente: Veriti)
El sector financiero en la mira
Las entidades bancarias y las empresas de tecnología financiera se han convertido en los principales objetivos. Esto se debe a su gran dependencia de servicios basados en inteligencia artificial y la integración de APIs, lo que las hace especialmente vulnerables. Las posibles consecuencias de estos ataques son preocupantes:
- Filtración de datos sensibles
- Transacciones no autorizadas
- Multas y sanciones por incumplimientos de seguridad
- Grave daño a la reputación de la empresa
Los expertos en ciberseguridad advierten que no hay vulnerabilidad demasiado pequeña como para ignorarla. Los ciberdelincuentes están siempre atentos para explotar cualquier debilidad que se les presente, incluso aquellas consideradas de riesgo medio.
Podría interesarte leer: Nuevo Día Cero de Windows Explotado por Grupos de Hackers desde 2017
¿Por qué no se deben ignorar las vulnerabilidades de riesgo medio?
Muchas empresas tienden a enfocarse solo en fallos de seguridad críticos o de alta gravedad, pero los atacantes no siempre siguen ese patrón. Los ciberdelincuentes suelen aprovechar cualquier oportunidad, y lo que parece un problema menor puede convertirse rápidamente en una puerta de entrada perfecta si no se soluciona a tiempo.
¿Cómo protegerse del ataque CVE-2024-27564?
Para reducir el riesgo frente a esta vulnerabilidad, se recomienda tomar las siguientes medidas de seguridad:
- Revisar y actualizar las configuraciones de sistemas como IPS, WAF y firewalls para asegurarse de que estén correctamente configurados.
- Supervisar los registros de actividad en busca de intentos de ataque provenientes de direcciones IP sospechosas.
- Evaluar posibles brechas de seguridad relacionadas con la inteligencia artificial dentro de tus estrategias de gestión de riesgos.
Además, se han identificado direcciones IP que están explotando activamente esta vulnerabilidad, información clave que los equipos de seguridad pueden usar para fortalecer sus defensas.
Conclusión
Las vulnerabilidades de riesgo medio, como la CVE-2024-27564, pueden parecer menos urgentes, pero este caso demuestra que ignorarlas puede tener consecuencias graves. Los ciberdelincuentes están siempre atentos a cualquier oportunidad para atacar, incluso en puntos que muchas organizaciones podrían considerar de baja prioridad.
La clave para prevenir este tipo de incidentes es adoptar un enfoque proactivo en la seguridad. Además de aplicar las medidas de mitigación recomendadas, es fundamental implementar un sistema de monitoreo continuo que permita detectar actividades sospechosas en tiempo real.
