El sistema de chat (o chatbot) ChatGPT, desarrollado por OpenAI, ha ganado gran popularidad en los últimos meses. Se trata de un modelo basado en inteligencia artificial (GPT-3) que responde preguntas o proporciona información. Si bien presenta errores, a través del proceso de entrenamiento va mejorando su capacidad de respuesta. Sin embargo, la compañía Eset advirtió que esta tecnología, como muchas otras, también presenta ciertos riesgos en términos de ciberseguridad.
Sol González, investigadora de Seguridad Informática de Eset Latinoamérica, explica que ChatGPT ya está siendo usada por cibercriminales para desarrollar códigos maliciosos y realizar otro tipo de acciones fraudulentas.
"Es evidente que debemos seguir este tema de cerca para ver cómo evoluciona y analizar lo que nos depara la evolución de la inteligencia artificial y, sobre todo, el machine learning", comentó González.
¿Por qué ChatGPT es tan popular?
Según la investigadora,
ChatGPT se comunica de
una manera amigable con un lenguaje accesible, lo que la hace altamente disruptiva. Además, la herramienta puede ser usada por cualquier tipo de usuario, con múltiples propósitos (por ejemplo, para automatizar procesos en diversas industrias, como educación, finanzas, salud, atención al cliente, etc.).
“Sin embargo, es importante tener presente, que al igual que toda tecnología, también presenta sus riesgos de seguridad. Haciendo una analogía, así como el modelo de Ransomware as a Service permite que sujetos con menos conocimientos tengan acceso a un malware y solo deban preocuparse por diseñar el correo de phishing con el cual van a tratar de engañar a las víctimas, ChatGPT también es un servicio que puede ser utilizado para facilitar ciertas tareas a los cibercriminales”, agrega la investigadora de Eset.
¿Cómo puede ser usado para el cibercrimen?
Tras su reciente popularización, y en el marco del Día Internacional por un Internet Segura, la compañía de
ciberseguridad analizó seis maneras en que los
cibercriminales pueden beneficiarse con ChatGPT, que ponen en discusión la ética de la IA:
- Generación de fake news. Si alguien deseara crear un noticia falsa que se distribuya a lo largo de internet, podría apelar a la creatividad y versatilidad de la herramienta para generar desinformación a través de un texto que simule la forma de una noticia.
- Ataques de phishing. Es un hecho que cada vez resulta más difícil identificar los correos de phishing, debido a su nivel de personalización y persuasión. Hace unos años, la redacción de los correos maliciosos era, muchas veces, absurda; hasta incluso con errores ortográficos. Pero con ChatGPT la realidad es otra.
Si bien, por los códigos de ética de la IA, no se le puede pedir directamente a ChatGPT redactar un correo fraudulento (no lo hará y dará recomendaciones de cómo evitar ser víctima de ellos), sí se le puede pedir que redacte un correo de manera genérica, con ciertos elementos persuasivos. Dado que la IA no es capaz de identificar las intenciones del sujeto, lo hará sin ningún problema.
“La herramienta claramente puede ser utilizada por actores maliciosos para generar correos electrónicos persuasivos de manera automatizada con la intención de engañar a las personas y que estas entreguen sus credenciales. Es un hecho que, a través de ChatGPT, se pueden crear correos electrónicos de phishing personalizados y muy convincentes para engañar a las víctimas y obtener información confidencial de una manera automatizada”, confirma Gonzáles.
- Robo de identidad. Los ciberdelincuentes pueden utilizar ChatGPT para crear engaños que se presenten como si fueran de una institución confiable, como un banco o una empresa, con el objetivo de obtener información privada y financiera de las personas. Incluso pueden escribir en redes como si fueran celebridades (al igual que sucede con los correos, se le puede pedir a la tecnología que redacte un tweet sobre determinado tema).
- Desarrollo de malware. Esta plataforma puede ser de ayuda para el desarrollo de software, ya que se puede utilizar como herramienta para la generación de códigos en diversos lenguajes de programación. El malware también es un software, pero con fines maliciosos.
El equipo de investigación de Eset hizo una prueba y solicitó a ChatGPT que escriba un programa en .NET que llame a Powershell y descargue un payload (carga maliciosa que usan los ciberdelincuentes para acceder a un sistema y generar algún daño).
Como respuesta, ChatGPT advierte los riesgos de la solicitud y señala que incluso se podría estar violando la política de contenido del servicio. Sin embargo, el código se generó de todas formas, hasta incluso proporciona una descripción detallada sobre cómo funciona.
- Automatización de procesos ofensivos. A la hora de realizar ataques dirigidos, los cibercriminales suelen realizar un proceso de reconocimiento que incluye llevar a cabo ciertas tareas que tienden a ser repetitivas. Sin embargo, en los últimos años, fueron surgiendo herramientas que permiten acortar los tiempos de estas tareas.
A fin de constatar si ChatGPT pudiese utilizarse para estas actividades, el equipo de ESET simuló ser un atacante que quiere ingresar a un servidor LDAP para ver qué usuarios hay en una empresa. Se probó ChatGPT como herramienta para automatizar este proceso, pidiendo la creación de un script.
Así, la plataforma proporcionó un código en Python para enumerar los usuarios de un Active Directory utilizando el protocolo LDAP. Para quienes trabajan en seguridad saben que es recomendable contar con un Cheat Sheet ágil para ejecutar ciertos comandos. Si, por ejemplo, se está en la fase de acceso, como cibercriminal, se necesita un script para abrir una Shell reversa y, utilizando ChatGPT, se podría fácilmente obtener esta información.
- Chats maliciosos. ChatGPT cuenta con una API que permite alimentar a otros chats. Debido a su interfaz amigable, podría ser utilizada para muchos usos beneficiosos, pero lamentablemente también puede ser utilizada para usos maliciosos. Por ejemplo, para engañar a las personas y realizar estafas muy persuasivas.
Finalmente, es necesario hacer un uso responsable de este tipo de tecnologías, pues, para ciertas tareas, resultan muy útiles; además que su popularidad y cantidad de usuarios difícilmente disminuirá en los próximos años.
Más en Andina: (FIN) NDP/IVM
Publicado: 8/2/2023