- La industria de la ciberseguridad ya está viendo evidencia del uso de ChatGPT por parte de delincuentes.
- ChatGPT puede generar rápidamente correos de phishing o código malicioso para ataques de malware.
- Las empresas de inteligencia artificial podrían ser consideradas responsables de los chatbots que asesoran a los delincuentes.
- ¿Ya conoces nuestra cuenta de Instagram? Síguenos.
Ya sea escribiendo ensayos o analizando datos, ChatGPT se puede usar para aligerar la carga de trabajo de una persona; sin embargo, eso también se aplica a los ciberdelincuentes.
Sergey Shykevich, investigador principal de ChatGPT en la empresa de seguridad cibernética Checkpoint security, ya ha visto cómo los ciberdelincuentes aprovechan el poder de la IA para crear un código que se puede usar en un ataque de ransomware.
El equipo de Shykevich comenzó a estudiar el potencial de la IA para cometer delitos cibernéticos en diciembre de 2021. Usando el enorme modelo de lenguaje de la IA, crearon correos electrónicos de phishing y código malicioso. Cuando quedó claro que ChatGPT podría usarse con fines ilegales, Shykevich le dijo a Insider que el equipo quería ver si sus hallazgos eran «teóricos» o si podían encontrar «a los malos que lo usan en la naturaleza».
Debido a que es difícil saber si un correo electrónico malicioso se escribió con ChatGPT, su equipo recurrió a la dark web para ver cómo se utilizaba la aplicación.
El 21 de diciembre, encontraron su primera prueba: los ciberdelincuentes usaban el chatbot para crear un script de python que podría usarse en un ataque de malware. El código tenía algunos errores, dijo Shykevich, pero gran parte era correcto.
«Lo que es interesante es que estos tipos que lo publicaron nunca habían desarrollado nada antes», dijo.
Prácticamente cualquier persona podría usar ChatGPT para el cibercrimen
Shykevich dijo que ChatGPT y Codex, un servicio de OpenAI que puede escribir código para desarrolladores, «permitirá que personas con menos experiencia sean presuntos desarrolladores».
El uso indebido de ChatGPT —que ahora está impulsando el nuevo y ya problemático chatbot de Bing— preocupa a los expertos en seguridad cibernética. Estos ven el potencial de los chatbots para ayudar en los ataques de phishing, malware y hackeos.
Justin Fier, director de Cyber Intelligence & Analytics en Darktrace, una empresa de ciberseguridad, le dijo a Insider que cuando se trata de ataques de phishing, la barrera de entrada ya es baja; sin embargo, ChatGPT podría facilitar que las personas creen de manera eficiente docenas de correos electrónicos fraudulentos dirigidos, al menos siempre y cuando elaboren buenas indicaciones.
«Para el phishing, todo se trata de volumen. Imagina 10,000 correos electrónicos, altamente dirigidos. Y ahora, en lugar de 100 clics positivos, tengo 3,000 o 4,000», dijo Fier, refiriéndose a un número hipotético de personas que pueden hacer clic en un correo electrónico de phishing, que se utiliza para que los usuarios den información personal, como contraseñas bancarias. «Eso es enorme, y se trata de ese objetivo».
Una ‘película de ciencia ficción’
A principios de febrero, la empresa de seguridad cibernética Blackberry publicó una encuesta hecha a 1,500 expertos en tecnología de la información. Esta reveló que 74% de ellos están preocupados por la ayuda de ChatGPT en el delito cibernético.
La encuesta también encontró que 71% creía que ChatGPT podría ser usado por los estados-nación para atacar a otros países con hackeos y phishing.
«Está bien documentado que las personas con intenciones maliciosas están probando las aguas; pero, en el transcurso de este año, esperamos ver que los hackers comprendan mucho mejor cómo usar ChatGPT con éxito para fines nefastos», escribió Shishir Singh, director de tecnología de ciberseguridad en BlackBerry, en un comunicado.
Singh le dijo a Insider que estos temores se derivan del rápido avance de la IA en el último año. Los expertos han dicho que los avances en los grandes modelos de lenguaje, que ahora son más hábiles para imitar el habla humana, han avanzado más rápido de lo esperado.
Singh describió las rápidas innovaciones como algo sacado de una «película de ciencia ficción».
“Todo lo que hemos visto en los últimos 9 a 10 meses solo lo hemos visto en Hollywood”, dijo Singh.
Los usos del cibercrimen podrían ser una responsabilidad para Open AI
A medida que los ciberdelincuentes comienzan a agregar cosas como ChatGPT a su conjunto de herramientas, expertos como el exfiscal federal Edward McAndrew se preguntan si las empresas tendrían alguna responsabilidad por estos delitos.
Por ejemplo, McAndrew, quien trabajó con el Departamento de Justicia investigando delitos cibernéticos, señaló que si ChatGPT —o un chatbot similar— aconsejaba a alguien que cometiera un delito cibernético, podría ser una responsabilidad para las empresas que facilitan estos chatbots.
Al tratar con contenido ilegal o criminal en sus sitios de usuarios de terceros, la mayoría de las empresas de tecnología citan la Sección 230 de la Ley de Decencia en las Comunicaciones de 1996. La ley establece que los proveedores de sitios que permiten a las personas publicar contenido —como Facebook o Twitter— no son responsables del discurso en sus plataformas.
Sin embargo, debido a que el discurso proviene del propio chatbot, McAndrew dijo que es posible que la ley no proteja a OpenAI de demandas civiles o enjuiciamientos; esto aunque las versiones de código abierto podrían dificultar la vinculación de los delitos cibernéticos con OpenAI.
El alcance de las protecciones legales para las empresas de tecnología bajo la Sección 230 también está siendo cuestionado esta semana ante la Corte Suprema por una familia de una mujer asesinada por terroristas de ISIS en 2015. La familia argumenta que Google debería ser considerado responsable por su algoritmo que promueve videos extremistas.
El reto de una regulación global de los chatbots de IA
McAndrew dijo que ChatGPT también podría proporcionar un «tesoro oculto de información» para aquellos encargados de recopilar evidencia de tales delitos si pudieran citar a empresas como OpenAI.
«Esos son realmente preguntas interesantes que aún están a años de responderse», dijo McAndrew; «pero, como vemos, ha sido cierto desde los albores de Internet. Los delincuentes se encuentran entre los primeros en adoptar. Y lo estamos viendo de nuevo, con muchas de las herramientas de IA».
Ante estas preguntas, McAndrew dijo que ve un debate político sobre cómo Estados Unidos, y el mundo en general, establecerán parámetros para las empresas de tecnología e IA.
En la encuesta de Blackberry, 95% de los encuestados de TI dijo que los gobiernos deberían ser responsables de crear e implementar regulaciones.
McAndrew dijo que la tarea de regularlo puede ser desafiante; sobretodo porque no hay una agencia o nivel de gobierno encargado exclusivamente de crear mandatos para la industria de IA. También dijo que el problema de la tecnología de IA va más allá de las fronteras de Estados Unidos.
«Vamos a tener que tener coaliciones internacionales y normas internacionales en torno al comportamiento cibernético. Espero que tarde décadas en desarrollarse, si alguna vez somos capaces de hacerlo».
La tecnología de ChatGPT aún no es perfecta para los ciberdelincuentes
Una cosa sobre ChatGPT que podría dificultar el cibercrimen es que es conocido por ser erróneo. Esto podría plantear un problema para un ciberdelincuente que intente redactar un correo electrónico destinado a imitar a otra persona, dijeron los expertos a Insider. En el código que Shykevich y sus colegas descubrieron en la dark web, los errores necesitaban correcciones antes de que pudiera ayudar en una estafa.
Además, ChatGPT continúa implementando medidas de seguridad para disuadir la actividad ilegal; sin embargo, estas a menudo pueden eludirse con el script correcto. Shykevich señaló que algunos ciberdelincuentes ahora se están inclinando por los modelos API de ChatGPT. Estas son versiones de código abierto de la aplicación que no tienen las mismas restricciones de contenido que la interfaz de usuario web.
Shykevich también dijo que, en este momento, ChatGPT no puede ayudar a crear malware sofisticado o crear sitios web falsos que parezcan, por ejemplo, el de un banco importante.
Sin embargo, esto podría algún día ser una realidad. Esto debido a que la carrera armamentista de IA creada por los gigantes tecnológicos podría acelerar el desarrollo de mejores chatbots, dijo Shykevich a Insider.
«Estoy más preocupado por el futuro. Y ahora parece que este no es en cuatro o cino años, sino más bien en uno o dos años», dijo Shykevich.
Open AI no respondió de inmediato a la solicitud de comentarios de Insider.
AHORA LEE: 4 maneras en las que ChatGPT podría ser usado por ciberdelincuentes
TAMBIÉN LEE: Bill Gates dijo que ChatGPT ‘cambiará nuestro mundo’ al hacer que el lugar de trabajo sea más eficiente
