Microsoft inicia demanda contra un grupo por abusar de su servicio

Microsoft ha interpuesto una demanda contra un grupo que, según la compañía, estaba abusando de su servicio de inteligencia artificial (IA). Según Microsoft, este grupo, cuyo nombre no se ha dado a conocer, desarrolló herramientas que utilizaba para eludir las medidas de seguridad de sus productos de IA. La denuncia presentada afirmaba que el grupo, compuesto por 10 personas anónimas, presuntamente robabadentde usuario.

Microsoft afirmó que los acusados ​​utilizaron credenciales de usuario robadasdentun software diseñado para tal fin para vulnerar su servicio Azure OpenAI. Microsoft es responsable de la gestión de este servicio en la nube, creado por ChatGPT, la empresa matriz de OpenAI. Según Microsoft, dichas personas infringieron varias leyes, una de las cuales motivó la presentación de la demanda.

Microsoft presenta una denuncia por un abuso de sus servicios

En su demanda, Microsoft destacó que los demandados, a los que se refiere bajo el seudónimo legal "Sí", violan la Ley de Fraude y Abuso Informático, una ley amparada por la Ley de Derechos de Autor del Milenio Digital. La compañía también alegó que los individuos infringieron una ley federal contra la extorsión al acceder y utilizar ilegalmente su software y servidores para crear contenido dañino e ilegal.

Sin embargo, Microsoft se ha negado a detallar el contenido que, según afirma, era dañino e ilegal. La compañía destacó en su denuncia que, en julio de 2024, descubrió que algunos usuarios con claves API de Azure OpenAI (una cadena de caracteres que se utiliza para aprobar una aplicación o un usuario) estaban siendo utilizados ilegalmente para generar contenido que no se ajustaba a la política de uso aceptable de la compañía.

Según la demanda, Microsoft descubrió que algunos usuarios obtuvieron las claves API de forma ilegal. En su declaración, Microsoft afirmó que se desconoce cómo obtuvieron las claves, perotronque los acusados ​​las robaron. «Se desconoce la forma precisa en que los acusados ​​obtuvieron todas las claves API utilizadas para llevar a cabo la conducta indebida descrita en esta demanda, pero parece que han participado en un patrón de robo sistemático dematic API que les permitió robar claves API de Microsoft a varios clientes de Microsoft», se lee en la declaración.

Veredicto legal y soluciones futuras

Según Microsoft, los acusados ​​se dirigieron especialmente a usuarios de Estados Unidos. La compañía afirma que el grupo utilizó las claves API robadas del servicio Azure OpenAI para crear un esquema que denominaron "hacking como servicio". La denuncia menciona que los acusados ​​crearon una herramienta llamada De3u, que funciona en el lado del cliente. También crearon otro software que procesaba y enrutaba la comunicación de De3u a los sistemas de la compañía.

La firma señaló que De3u aprovechó lasdentpara permitir a los usuarios generar imágenes mediante DALL-E, uno de los de OpenAI disponibles para los usuarios. Sin embargo, la peculiaridad es que pueden hacerlo sin escribir su propio código. La denuncia también alegó que De3u intentó impedir que el servicio Azure OpenAI revisara las indicaciones utilizadas para crear imágenes. La denuncia mencionó que esto solo ocurre cuando una indicación contiene palabras que activan el sistema de filtrado de contenido de su plataforma.

Un repositorio con el código De3u, detectado en GitHub, propiedad de Microsoft, había sido eliminado al momento de redactar este artículo. Microsoft señaló que la combinación de las claves API del servicio Azure OpenAI robadas y las herramientas permitió a los demandados eludir sus medidas de contenido. "Estas características, junto con el accesomatic ilegal de los demandados a la API del servicio Azure OpenAI, les permitieron aplicar ingeniería inversa para eludir las medidas de contenido y abuso de Microsoft", declaró la compañía.

Mientras tanto, la compañía, en una publicación reciente en su blog, mencionó que el tribunal aprobó su solicitud para incautar un sitio web fundamental para las operaciones de los demandados. Microsoft aprovechará la oportunidad para recopilar pruebas y determinar cómo se monetiza el servicio, con el fin de eliminar cualquier infraestructura técnica restante. La empresa afirmó haber implementado medidas para subsanar la deficiencia, incluyendo nuevas medidas de seguridad para el servicio Azure OpenAI. Asimismo, solicita medidas cautelares, otras reparaciones equitativas y una indemnización por daños y perjuicios.