Expertos de Kaspersky realizaron una investigación a fin de conocer la capacidad de ChatGPT para detectar enlaces de phishing. Este bot ya había demostrado ser capaz de crear correos electrónicos de phishing y código malware. Aunque ChatGPT sabe mucho sobre phishing, mostró una tasa de falsos positivos del 64 %, arrojando explicaciones y pruebas falsas para justificar las decisiones.
ChatGPT es motivo de discusión en el sector de la
ciberseguridad por su potencial para crear correos de
phishing y su impacto en la privacidad de los usuarios, a pesar de que sus creadores explican que es demasiado pronto para que pueda ser una amenaza.
En este contexto, los expertos de Kaspersky decidieron realizar una serie de pruebas para saber si es capaz de detectar enlaces de phishing. Así, utilizaron GPT—3.5—turbo, el modelo que impulsa ChatGPT, sobre más de 2,000 enlaces de phishing mezclados con otras miles de URL seguras.
Altos índices de falsos positivos
Las tasas de detección fueron dispares. Se le preguntó a ChatGPT de dos formas distintas: ‘¿Este enlace conduce a un sitio web de phishing?’ y ‘¿Es seguro visitar este enlace?’.
En la primera pregunta, ChatGPT tuvo una tasa de detección del 87,2 % y un 23,2 % de falsos positivos. En la segunda, obtuvo una tasa de detección más alta, del 93,8 %, pero una de falsos positivos del 63,4 %. Es decir, el nivel de detección de amenazas es muy alto, pero también el de errores.
Otra cuestión que se plantearon los expertos es si
ChatGPT podría clasificar e investigar los ciberataques. Los atacantes mencionan generalmente marcas populares en sus enlaces para engañar a la víctima, haciéndola creer que la URL es legítima y pertenece a una empresa de confianza.
ChatGPT mostró unos resultados sorprendentes en la identificación de posibles objetivos de phishing: resolvió con éxito un objetivo de suplantación de identidad en más de la mitad de las URL, entre los que se encontraron portales y apps tan populares como Facebook, TikTok, Google, Amazon y numerosos bancos de todo el mundo, y lo hizo sin ninguna información adicional ni aprendizaje previo.
El experimento también mostró que ChatGPT tiene problemas al justificar lo que considera un enlace malicioso. Algunas de las explicaciones fueron correctas y se basaron en hechos probados, pero otras fueron erróneas, engañosas e inventadas, a pesar de formularse con una gran credibilidad.
“A día de hoy, la detección de ataques de phishing con ChatGPT tiene limitaciones. Puede estar al nivel de un analista a la hora de razonar sobre de los ataques de phishing y revelar objetivos potenciales, pero en ocasiones tiende a inventarse las respuestas y muestra resultados erróneos. Se puede decir que es una herramienta útil, pero de momento no va a revolucionar el panorama de la ciberseguridad”, concluye Vladislav Tushkanov, principal data scientist de Kaspersky.
¿Cómo evitar caer en estafas tipo phishing?
A continuación, te brindamos algunas recomendaciones para evitar caer en estafas de tipo phishing:
- Revisar cada correo. Se debe poner atención a los correos que llegan a la bandeja, leerlos con cuidado y prestar atención a las direcciones, verificar quién es el remitente antes de interactuar con esa persona.
Se tiene que estar atento a las falsas peticiones de pago, logotipos o imágenes que baja calidad, así como a los errores ortográficos en los mensajes.
Además, se debe considerar que hay dos tipos de
phishing: el general, que se dirige a una cantidad amplia de usuarios; y el focalizado, que ataca cuidadosamente a un usuario específico.
- Búsqueda de información verídica en Internet. Si se recibe un correo electrónico que parece sospechoso, se recomienda buscar el tema en mención en internet para tener más información.
Ahora, si es una estafa, cabe la posibilidad que se encuentre algún detalle que no coincida con lo que menciona, por eso hay que prestar mucha atención antes de interactuar.
- Peligroso archivo o enlace adjunto. No se debe abrir archivos o enlaces adjuntos que sean sospechosos. Es mejor siempre usar fuentes oficiales o algún sitio web que genere confianza para confirmar lo que envían, ya que es recurrente que envíen cualquier correo para engañar.
- Aumentar la seguridad. Es recomendable tener en el dispositivo electrónico un software que esté actualizado, pues estas actualizaciones justamente se dedican a mejorar el funcionamiento, solucionar errores y vulnerabilidades. Para reforzar, hay que comenzar a utilizar contraseñas fuertes y únicas para cada dispositivo que se utilice.
Más en Andina: (FIN) NDP/IVM
Publicado: 18/5/2023