Puedes escribir poesía barroca, escribir una carta a los tres reyes magos con una expresión infantil o preparar un ensayo universitario convincente. También puede adivinar acertijos e incluso programar. El chatbot ChatGPT es un juguete popular entre los aficionados a la tecnología. Además conecta con el público gracias a su sencillez: solo tienes que hacer tus preguntas por escrito, como lo harías en cualquier chat. Pero este sistema de inteligencia artificial (IA), desarrollado por OpenAI, una empresa cofundada por Elon Musk, también plantea nuevos riesgos. Entre ellos, ayudar a cualquiera a lanzar un ciberataque.
Un equipo de analistas de la firma de seguridad cibernética Check Point usó ChatGPT y Codex, una herramienta similar centrada en la programación, para desarrollar un ataque de phishing completo sin escribir una sola línea de código. El phishing es una de las técnicas preferidas de los ciberdelincuentes en la actualidad: consiste en engañar a los usuarios para que hagan clic voluntariamente en enlaces que descargan malware o software malicioso en sus equipos y luego roban información o dinero. Un ejemplo típico es un correo electrónico supuestamente enviado por un banco que solicita a los usuarios que ingresen sus credenciales para obtenerlas.
Los investigadores de Check Point le pidieron a la herramienta automatizada antes mencionada que escribiera un correo electrónico fraudulento, anotara el código de malware, luego lo copiara y lo pegara en un archivo de Excel para enviarlo como un archivo adjunto de correo electrónico a fin de detectar la estafa lo más rápido posible. La víctima descarga el archivo. Entonces lograron establecer una cadena completa de infección, pudiendo acceder de forma remota a otras computadoras, todo haciendo preguntas en el chat. Su objetivo era probar el daño potencial de ChatGPT. lo entienden
Los analistas de Check Point le pidieron a ChatGPT que escribiera un correo electrónico de phishing. En la imagen, hicieron una pregunta para lograr ese resultado.
“Los experimentos han demostrado que se pueden desarrollar ataques relativamente sofisticados con pocos recursos. Esto se puede lograr haciendo las preguntas adecuadas y transversales, sin mencionar palabras clave que entren en conflicto con tu política de contenidos”, Check Point España y Eusebio Nieva, director técnico en Portugal, explica. “Actualmente, los atacantes profesionales no necesitan ChatGPT o Codex para nada. Pero puede ser útil para cualquiera que no tenga los conocimientos suficientes o esté aprendiendo”, enfatizó. En su opinión, cualquier persona con un coeficiente intelectual promedio que no sepa programar puede usar esta herramienta para lanzar un ataque simple.
¿Significa esto que las aplicaciones populares de OpenAI deben ser censuradas o censuradas? Es difícil de hacer. «Si le pide a ChatGPT que cree una función que cifre el contenido de su disco duro, lo hará. La otra cosa es que la use para algo bueno, como proteger sus datos, o para algo malo, como secuestrar la computadora de otra persona, «, dijo el investigador de seguridad de Kaspersky, Mark Rivero. Dependiendo de lo que se le pida a la herramienta (por ejemplo, escribir un correo electrónico de phishing usando esa palabra), responderá que no puede porque es ilegal. Aunque este obstáculo a menudo se puede sortear haciendo la pregunta de otras maneras, como lo hizo el equipo de Check Point. Dado el enorme impacto que están teniendo las herramientas de OpenAI, los desarrolladores revisan constantemente sus términos y condiciones. Al momento de escribir, los ejercicios realizados por Check Point aún son repetibles.
ChatGPT es una variante del modelo de lenguaje inverso GPT-3, que es el más avanzado del mundo. Utiliza aprendizaje profundo, una técnica de inteligencia artificial, para generar texto que imita la escritura humana. Analiza unos 175 000 millones de parámetros para determinar qué palabra coincide estadísticamente mejor con la palabra que la precedió, ya sea una pregunta o una afirmación. Por lo tanto, su texto es como escrito por una persona, aunque no sepa si lo que dice es bueno o malo, verdadero o falso, verdadero o falso.
Esta captura de pantalla muestra cómo el equipo de Check Point le pidió a ChatGPT que escribiera un código específico para su ataque cibernético ficticio que podría copiarse y pegarse en una hoja de Excel.
«El lanzamiento de ChatGPT reúne dos de mis mayores temores de seguridad cibernética: la inteligencia artificial y la posibilidad de información errónea», dijo el vicepresidente y director de tecnología de McAfee, Steve Grobman, en su artículo de opinión inmediatamente después de que el chatbot de OpenAI se hizo público, escribió en el blog. «Estas herramientas de IA serán utilizadas por una amplia gama de actores nefastos, desde ciberdelincuentes hasta aquellos que buscan intoxicar a la opinión pública para que su trabajo logre resultados más realistas».
Todas las fuentes consultadas para elaborar este informe coinciden en que ChatGPT no revolucionará el campo de la ciberseguridad. Las amenazas que tratan las empresas especializadas son extremadamente complejas en comparación con las amenazas que pueden generar los chatbots más populares en la actualidad. Hackear los sistemas de una empresa o institución no es fácil. Pero eso no significa que no sea útil para los ciberdelincuentes.
«Estas herramientas se pueden utilizar para crear [un fragmento de software] Explotan vulnerabilidades conocidas en OpenIA recopilando datos de sus modelos», afirma Josep Albors, Director de Investigación y Sensibilización de ESET España. De hecho, facilita parte de la cadena de infección que utilizan los ciberdelincuentes y atacantes, «bajando el Esto crea una barrera para entrada para algunos ataques y puede permitir que participen más actores malintencionados. «
Nieva augura el regreso de los llamados script kiddies, niños sin muchos conocimientos de programación que utilizan scripts comerciales y atacan por diversión o para probarse a sí mismos. La complejidad de la ciberseguridad es lo que poco a poco les está quitando del radar. «Fueron reportados como desaparecidos hace algunos años, pero pronto los veremos llevar a cabo ataques menos sofisticados pero efectivos», dijo el gerente de Check Point.
En lo que respecta a los expertos en ciberdelincuencia, pueden recurrir a estos chatbots para realizar pequeñas tareas en el largo proceso de diseño de ciberataques complejos. Por ejemplo, escribir correos electrónicos convincentes y otros procesos tradicionales como confundir automáticamente las defensas para lanzar ataques reales más tarde.
ChatGPT también es útil para las personas que están del lado de los buenos. Las empresas de ciberseguridad han estado utilizando herramientas de inteligencia artificial durante décadas, pero OpenAI, que se basa en una gran cantidad de datos obtenidos de Internet, ofrece una nueva perspectiva. «Puede ser una excelente herramienta de capacitación para comprender las técnicas de explotación que utilizan muchos delincuentes y diseñar defensas para ellos», dijo Albors.
Puedes seguir a PeriodistasdeGénero TECNOLOGÍA en Facebook y Twitter o darte de alta aquí para recibir nuestra newsletter semanal.
suscríbete para seguir leyendo
lectura ilimitada
