Por: Steven Masada, asesor general adjunto, Unidad de Delitos Digitales de Microsoft.
En una demanda enmendada a un reciente litigio civil, Microsoft ha nombrado a los principales desarrolladores de herramientas maliciosas diseñadas para eludir las barreras de protección de los servicios de IA generativa, incluido el servicio Azure OpenAI de Microsoft. Llevamos a cabo esta acción legal ahora contra los acusados identificados para detener su conducta, para continuar con el desmantelamiento de su operación ilícita y disuadir a otros que intentan convertir nuestra tecnología de IA en un arma.
Las personas nombradas son: (1) Arian Yadegarnia alias “Fiz” de Irán, (2) Alan Krysiak alias “Drago” del Reino Unido, (3) Ricky Yuen alias “cg-dot” de Hong Kong, China, y (4) Phát Phùng Tấn alias “Asakuri” de Vietnam. Estos actores están en el centro de una red global de ciberdelincuencia que Microsoft rastrea como Storm-2139. Los miembros de Storm-2139 explotaron las credenciales de los clientes expuestas, extraídas de fuentes públicas, para acceder de manera ilegal a cuentas con ciertos servicios de IA generativa. A continuación, alteraron las capacidades de estos servicios y revendieron el acceso a otros actores maliciosos, para luego proporcionar instrucciones detalladas sobre cómo generar contenido dañino e ilícito, incluidas imágenes íntimas no consentidas de celebridades y otros contenidos explícitos a nivel sexual.
Esta actividad está prohibida por los términos de uso de nuestros servicios de IA generativa y requirió esfuerzos deliberados para eludir nuestras salvaguardas. No nombramos a celebridades específicas para mantener sus identidades en privado y hemos excluido las imágenes sintéticas y los avisos de nuestras presentaciones para evitar que circulen más contenido dañino.
Storm-2139: Una red global de creadores, proveedores y usuarios finales.
En diciembre de 2024, la Unidad de Delitos Digitales (DCU, por sus siglas en inglés) de Microsoft presentó una demanda en el Distrito Este de Virginia donde alegó varias causas de acción contra 10 “John Does” no identificados que participaban en actividades que violaban la ley de EE. UU. y la Política de Uso Aceptable y el Código de Conducta de Microsoft. A través de esta presentación inicial, pudimos recopilar más información sobre las operaciones de la empresa criminal.
Storm-2139 está organizado en tres categorías principales: creadores, proveedores y usuarios. Los creadores desarrollaron las herramientas ilícitas que permitieron el abuso de los servicios generados por IA. Luego, los proveedores modificaron y suministraron estas herramientas a los usuarios finales, a menudo con diferentes niveles de servicio y pago. Por último, los usuarios utilizaron estas herramientas para generar contenido sintético infractor, a menudo centrado en celebridades e imágenes sexuales.
A continuación, se muestra una representación visual de Storm-2139, que muestra los alias de Internet descubiertos como parte de nuestra investigación, así como los países en los que creemos que se encuentran las personas asociadas.
A través de su investigación en curso, Microsoft ha identificado a varias de las personas mencionadas con anterioridad, incluidos, entre otros, los cuatro acusados nombrados. Si bien hemos identificado a dos actores ubicados en los Estados Unidos, en específico en Illinois y Florida, esas identidades permanecen sin revelar para evitar interferir con posibles investigaciones criminales. Microsoft ha comenzado a preparar referencias penales a representantes de las fuerzas del orden de los Estados Unidos y del extranjero.
Los ciberdelincuentes reaccionan a la incautación del sitio web por parte de Microsoft y a la presentación judicial.
Como parte de nuestra presentación inicial, el Tribunal emitió una orden de restricción temporal y una orden judicial preliminar que permitía a Microsoft incautar un sitio web fundamental para la operación criminal, para interrumpir de manera efectiva la capacidad del grupo para poner en funcionamiento sus servicios. La incautación de este sitio web y la posterior apertura de los documentos legales en enero generaron una reacción inmediata de los actores, en algunos casos al provocar que los miembros del grupo se enfrentaran y se señalaran entre sí. Observamos charlas sobre la demanda en los canales de comunicación monitoreados por el grupo, donde se especulaba sobre las identidades de los “John Does” y las posibles consecuencias.
En estos canales, ciertos miembros también “doxearon” al abogado oficial de Microsoft, donde se publicaron sus nombres, información personal y, en algunos casos, fotografías. El doxing puede resultar en daños en el mundo real, que van desde el robo de identidad hasta el acoso.
Como resultado, el abogado de Microsoft recibió una variedad de correos electrónicos, incluidos varios de presuntos miembros de Storm-2139 que intentaban culpar a otros miembros de la operación.
Esta reacción subraya el impacto de las acciones legales de Microsoft y demuestra cómo estas medidas pueden interrumpir con eficacia una red de ciberdelincuentes al apoderarse de la infraestructura y crear un poderoso impacto disuasorio entre sus miembros.
Continuar con nuestro compromiso de combatir el abuso de la IA generativa.
Nos tomamos muy en serio el uso indebido de la IA y reconocemos los impactos graves y duraderos de las imágenes abusivas para las víctimas. Microsoft mantiene su compromiso de proteger a los usuarios mediante la incorporación de sólidas barreras de seguridad de IA y la protección de nuestros servicios de contenido ilegal y dañino. El año pasado, nos comprometimos a seguir con la innovación en nuevas formas de mantener a los usuarios seguros mediante el esbozo de un enfoque integral para combatir el contenido abusivo generado por IA. Publicamos un documento técnico con recomendaciones para los responsables de la formulación de políticas de EE. UU. sobre la modernización del derecho penal para equipar a las fuerzas del orden con las herramientas necesarias para llevar a los malos actores ante la justicia. También proporcionamos una actualización sobre nuestro enfoque hacia el abuso de imágenes íntimas, donde se detallan las medidas que tomamos para proteger nuestros servicios de dicho daño, ya sea sintético o de otro tipo.
Como hemos dicho antes, ninguna interrupción está completa en un día. Perseguir a los actores maliciosos requiere persistencia y vigilancia continua. Al desenmascarar a estas personas y arrojar luz sobre sus actividades maliciosas, Microsoft pretende sentar un precedente en la lucha contra el uso indebido de la tecnología de IA.
