Microsoft ha iniciado acciones legales contra un grupo que presuntamente desarrolló herramientas para eludir las medidas de seguridad de sus servicios de inteligencia artificial en la nube. La demanda, presentada en diciembre ante el Tribunal de Distrito Este de Virginia, acusa a diez personas no identificadas de crear y utilizar software malicioso para burlar las protecciones del servicio Azure OpenAI.
El esquema fraudulento
Según la denuncia presentada por Microsoft, el grupo de acusados, referidos en los documentos legales como "Does", robó credenciales de clientes legítimos para acceder ilegalmente al servicio Azure OpenAI, una plataforma que ofrece acceso a tecnologías avanzadas de IA desarrolladas por OpenAI, la empresa creadora de ChatGPT.
El elemento central del esquema era una herramienta denominada "de3u", específicamente diseñada para sortear los sistemas de seguridad de Microsoft. Esta herramienta permitía a los usuarios generar imágenes utilizando DALL-E (el sistema de generación de imágenes por IA de OpenAI) sin necesidad de escribir código propio y, lo más preocupante, evadiendo los filtros de contenido diseñados para prevenir la creación de material inapropiado u ofensivo.
Acusaciones legales
Microsoft ha presentado múltiples cargos contra los acusados, incluyendo:
- Violación de la Ley de Fraude y Abuso Informático
- Infracción de la Ley de Derechos de Autor Digital del Milenio
- Violación de la ley federal contra el crimen organizado
La empresa busca medidas cautelares y compensación por daños, aunque no se ha especificado la cantidad exacta reclamada.
Descubrimiento y respuesta
La compañía detectó la actividad sospechosa en julio de 2024, cuando identificó que algunas credenciales de API (claves de acceso únicas asignadas a clientes legítimos) estaban siendo utilizadas para generar contenido que violaba las políticas de uso aceptable del servicio.
"Los acusados han participado en un patrón sistemático de robo de claves API que les permitió sustraer claves Microsoft API de múltiples clientes de Microsoft", señala la denuncia.
Medidas tomadas
Como respuesta a esta amenaza, Microsoft ha conseguido autorización judicial para incautar un sitio web que consideran "instrumental" en la operación de los acusados. Esta acción permitirá a la empresa:
- Recopilar evidencia sobre el esquema
- Descifrar cómo se monetizaban los servicios fraudulentos
- Interrumpir cualquier infraestructura técnica adicional que descubran
Además, la empresa ha implementado contramedidas adicionales y reforzado las protecciones de seguridad en Azure OpenAI Service, aunque no ha especificado los detalles exactos de estas mejoras por razones de seguridad.
Implicaciones para la seguridad de la IA
Este caso pone de relieve los desafíos de seguridad que enfrentan los proveedores de servicios de IA a medida que estas tecnologías se vuelven más accesibles y populares. La capacidad de eludir las protecciones de contenido plantea preocupaciones significativas sobre el uso potencialmente malicioso de estas herramientas.
Microsoft continúa investigando el alcance total de las actividades del grupo y ha indicado que podría actualizar la demanda a medida que se descubra más información sobre los responsables.
La empresa ha reafirmado su compromiso con la seguridad y el uso responsable de la IA, destacando que continuará tomando medidas legales contra quienes intenten abusar de sus servicios de inteligencia artificial.
