Con la inteligencia artificial (IA) en el centro de la escena pública, aparecieron varios tipos de estafas gracias a ChatGPT, el popular chat que permite interactuar con lenguaje natural y que simula una conversación humana. Y esto era algo inevitable: con lo último en moda tecnológica aparecer el malware (virus), aplicaciones no autorizadas y más.
En primer lugar, conviene recordar de qué trata este chat: “ChatGPT es un ejemplo de programa capaz de sostener varios diálogos en lenguaje natural, entrenado con técnicas donde participan humanos, tanto en el acceso a conversaciones de las que aprender como en el proceso posterior. de evaluar y mejorar las interacciones”, explica Javier Blanco, Doctor en Ciencias de la Computación de la Universidad de Eindhoven, Países Bajos.
A partir de este concepto comenzaron a aparecer diversos usos: desde escribir correos de trabajo hasta redactar ensayos para la universidad, pasando por redacción legal, todos comenzaron a sacarle provecho a esta tecnología, tan sorprendente como cuestionada.
Y el gran problema que viene con cualquier avance tecnológico masivo es, casi siempre, el peligro que conlleva para los ciberataques: Cuantos más usuarios hay, más se expande la superficie de ataque.
En este sentido, hay que distinguir dos grandes categorías: por un lado, el uso de ChatGPT para escribir código malicioso, es decir, “armarla”, convertirla en arma, como se dice en la jerga. Esto requiere un conocimiento por parte de los ciberdelincuentes que, como se ha visto, ya ha sido aprovechado.
Pero por otro lado, hay un lado más tangible y cercano al usuario medio, y es que se engaña, tanto al usar esta herramienta como al intentar instalarla. Y aquí vale la pena recordar que ChatGPT no tiene ninguna aplicación oficialpor lo que es muy probable que cualquier cosa que se instale termine siendo un dolor de cabeza en el futuro.
Aquí, los expertos revelan los peligros potenciales que actualmente conlleva ChatGPT, los cuidados que se deben tener y, por último, los aspectos positivos que tiene esta tecnología para combatir el cibercrimen.
ChatGPT no tiene una aplicación: tenga cuidado
Uno de los riesgos más comunes es descargar una aplicación que dice ser ChatGPT y en realidad no lo es. Es decir, un programa apócrifo.
“Hay aplicaciones que tienen la apariencia de una aplicación ChatGPT real pero con objetivos maliciosos, como suscribirse a un servicio a tiempo, hacer perder dinero a la víctima o robar datos confidenciales como contactos, SMS, archivos u otros datos de nuestro celular. teléfono», explica Alberto Herrera de Pucará, una empresa de seguridad informática.
También hay páginas web apócrifas que se hacen pasar por el ChatGPT oficial: “Muchos estafadores crean páginas para robar datos financieros. Una de las formas más utilizadas es crear páginas web con enlaces de pago relacionados con ChatGPT que tienen como objetivo robar tarjetas de crédito o cuentas bancarias”, explica.
En este sentido, cabe recordar que la única forma de acceder oficialmente a ChatGPT para el público en general es a través de su sitio oficial: chat.openai.com.
Eso sí, otro problema recurrente son las clásicas campañas de phishing: “Las estafas también llegan por correo electrónico con dominios o direcciones similares a las de ChatGPT, con páginas clonadas para engañar al usuario para que instale aplicaciones maliciosas”.
Por eso, es fundamental estar atentos a ciertas señales: “Antes de instalar una aplicación en nuestro celular, debemos ver que procede de una tienda con reputación de Google Play en android o tienda de aplicaciones en iOS y que ha sido descargado varias veces por otros usuarios y que tiene una gran cantidad de opiniones”, explica.
Otro gran problema son las extensiones de navegador, que pueden convertirse en un vector de ataque.
«Antes de instalar una extensión es importante revisar algunos problemas: que el dominio o dirección web sea del navegador en el que queremos instalar la aplicación -google.com por ejemplo-, que compruebe el número de descargas -cuantas más, mejor-, que tenga opiniones o comentarios de varios usuarios, que goza de buena reputación y que, en la medida de lo posible, sigue las buenas prácticas de Google o del proveedor de navegador que elijamos.
Tampoco existe una extensión GPT oficial para Chrome, aunque las hay de otras compañías y son de confianza, pero no oficiales (y por tanto el uso de los datos del usuario puede ser dudoso).
ChatGPT como aliado del cibercrimen
“ChatGPT también ha agregado algo de sabor al panorama moderno de amenazas cibernéticas, ya que rápidamente se hizo evidente que la generación de código puede ayudar a los actores de amenazas menos calificados a lanzar ciberataques sin esfuerzo«dice Dario Opezzo, gerente regional de ventas de Palo Alto Networks.
«Descubrimos que al usar ChatGPT, puede llevar a cabo con éxito un flujo de trabajo de infección completo, desde crear un correo electrónico de phishing convincente hasta ejecutar un caparazón inversa, capaz de aceptar comandos en inglés”, añade.
“En foros clandestinos de la Internet oscuralos ciberdelincuentes dicen que están usando ChatGPT para crear malware de la clase ladrón de información (robo de información), crear herramientas de cifrado y facilitar la actividad fraudulenta. Los investigadores quieren alerta del creciente interés de los atacantes por ChatGPT”, explicó Alejandro Botter, Gerente de Ingeniería de Check Point para el sur de Latinoamérica, en diálogo con este medio.
Estos tres casos recientes detectados por la empresa de ciberseguridad muestran cómo los ciberdelincuentes y estafadores se aprovechan de esta herramienta.
El primero es con la creación de un “ladrón de información”, un tipo de virus que roba información almacenada en los navegadores (contraseñas, datos personales, tarjetas, etc.).
“El 29 de diciembre de 2022, un hilo llamado ‘ChatGPT – Beneficios del malware’ en un popular foro clandestino de piratería. El editor del hilo reveló que estaba experimentando con ChatGPT para recrear variantes y técnicas de malware descritas en publicaciones de investigación y escritos sobre malware común. Estos mensajes parecían estar enseñando a otros atacantes con menos conocimientos técnicos cómo usar ChatGPT con fines maliciososcon ejemplos reales que podrían aplicar inmediatamente”, añade Botter.
Un segundo tipo de uso malicioso detectado implicaba la creación de un herramienta de cifrado, es decir, un programa que convierte datos legibles en datos codificados. Un ciberdelincuente apodado USDoD lo publicó y reconoció que había formado parte de GPT. “Este guión [archivo con instrucciones en un lenguaje de programación] se puede modificar para cifrar una computadora sin ninguna interacción del usuario. Por ejemplo, podría convertir el código en ransomware”, dice el experto.
Por último, ChatGPT ya se usa para facilitar actividades fraudulentas: “El papel principal del mercado en la economía clandestina ilícita es proporcionar una plataforma para el comercio automatizado de bienes ilegales o robados como cuentas robadas o tarjetas de pago, malware o incluso drogas y municiones, con todos los pagos en CRIPTOMONEDAS«, Explicar.
Por último, hay un problema no menor con los datos que nosotros mismos le estamos dando a la aplicación cuando la usamos: “Otro de los problemas que tienen estos modelos de lenguaje es que ‘ellos aprenden‘ de lo que escribimos, entonces toda la información confidencial o privada que subamos a la plataforma será utilizada de alguna manera”, advierte Herrera de Pucará.
“Por eso es importante poder generar discusiones sobre moderación y restricción en la industria de la IA como ChatGPT, entre otros”, concluye, en un comentario que recuerda la advertencia de Elon Musk y otros tecnócratas la semana pasada sobre regulando y suspendiendo durante seis meses los desarrollos por encima de GPT-4.
¿Cómo puedes ser un aliado?
Tanto Palo Alto como CheckPoint coinciden en que, pese al desarrollo del malware con ChatGPT, no se debe «satanizar» a la inteligencia artificial y ver el lado positivo para, precisamente, perseguir el cibercrimen.
“No debemos tener miedo a la IA, pero verlo como un aliado porque permite la defensa automatizada. En el caso de Palo Alto Networks, estábamos a la vanguardia cuando reconocimos la importancia de la seguridad basada en IA y ML. Por ejemplo, AI y ML en seguridad ayudar a establecer una línea base de operaciones normales y luego alertar a un equipo sobre posibles anomalías, creando una hoja de ruta de automatización que ahorra tiempo y recursos”, dice Opezzo de Palo Alto.
De hecho, fue uno de los temas de este año en la reunión anual del Foro Económico Mundial, donde líderes de gobiernos, empresas y ciberseguridad discutieron la intersección entre la IA y la seguridad.
“La IA ya está dando lugar a avances científicos. Está ayudando a detectar el fraude financiero y a desarrollar la resiliencia climática. Es una herramienta que podemos utilizar para mejorar y avanzar en muchas áreas de nuestra vida. Esto incluye seguridad y ciberseguridad”, dice Botter de CheckPoint.
“Al incorporar IA en una arquitectura de seguridad unificada de varias capas, las soluciones de ciberseguridad pueden proporcionar un sistema inteligente que no solo detecta, pero previene activamente los ciberataques avanzados«, suma.
Entre los beneficios que puede aportar la IA para combatir las estafas, el experto enumera la automatización de tareas repetitivas, la detección automática de incidencias y la “conciencia situacional”es decir, que la inteligencia artificial pueda recopilar y procesar datos que aporten más contexto para advertir de una situación de peligro para el usuario.
Así, como toda tecnología, la inteligencia artificial que proporciona ChatGPT puede ser un aliado o una amenaza. Seguramente el clima se adaptará cada uno de los lados.