ChatGPT, el chatbot gratuito de OpenAI basado en GPT-3.5, se lanzó el 30 de noviembre de 2022 y acumuló un millón de usuarios en cinco días. Es capaz de escribir correos electrónicos, redacciones, código y correos de phishing, si el usuario sabe cómo pedirlo.
En comparación, Twitter tardó dos años en alcanzar el millón de usuarios. Facebook tardó diez meses, Dropbox siete meses, Spotify cinco meses, Instagram seis semanas. Pokemon Go tardó diez horas, pero aun así, cinco días es bastante impresionante para una herramienta basada en la web que no tenía ningún reconocimiento de nombre incorporado.
Hay muchas buenas razones para preocuparse por ChatGPT de OpenAI en este momento. Escribe mejores redacciones que el estudiante medio de instituto o universidad. Puede escribir y depurar código.
Permite a personas con cero conocimientos de codificación y desarrollo ser "desarrolladores". Ya han encontrado pruebas de que los malos actores, incluidos algunos sin experiencia en desarrollo, están utilizando ChatGPT para crear herramientas maliciosas. El 5 de diciembre de 2022 empezaron a aparecer entradas en Habr.com, un blog ruso sobre tecnología, en las que se explicaba cómo utilizar ChatGPT para programar. 2Chan, la respuesta rusa a 4Chan, debatió el 7 de diciembre sobre cómo evitar el geobloqueo de OpenAI.
Pero algunos usuarios también están estudiando cómo utilizar la IA de forma no destructiva, por ejemplo, para crear obras de arte o libros electrónicos para vender en línea. ChatGPT también puede explicar física cuántica a un niño de seis años, escribir poesía, crear un plan de comidas personalizado y sacar 1020 en la selectividad.
Y cuanta más gente lo utilice, más inteligente se volverá.
Con una nueva y mejor versión prevista para este año, los competidores ya están entrando en el juego. Por ejemplo, You.com ya tiene su propio clon de ChatGPT que, a diferencia de éste, tiene acceso a Internet y puede responder a preguntas sobre noticias de actualidad. Microsoft, que ya ha invertido 1.000 millones de dólares en OpenAI, invertirá al parecer otros 10.000 millones y añadirá ChatGPT a su motor de búsqueda Bing en marzo. Microsoft también planea integrarlo en su paquete Office. Google, por su parte, ha declarado el "código rojo" y se apresura a responder.
Cómo ChatGPT puede permitir el phishing
Se habla mucho de ChatGPT y de lo que puede hacer, pero lo que más asusta a los profesionales de la seguridad empresarial es que ChatGPT y sus competidores permitirán a los atacantes aumentar drásticamente la calidad y cantidad de su código y texto.
No vamos a hablar de las capacidades de codificación de ChatGPT, ya que también son muy, muy aterradoras, pero incluso limitando el debate a la capacidad de ChatGPT para generar texto, sus posibilidades para los actores de amenazas son bastante impresionantes, y es probable que mejoren rápidamente.
En la actualidad, ChatGPT ya es capaz de escribir correos electrónicos indistinguibles de los escritos por humanos, en cualquier estilo de escritura. Puede generar texto para publicaciones en redes sociales, guiones de vídeos de YouTube, contenido de sitios web, comunicados de prensa, reseñas... cualquier cosa que un atacante necesite para crear una presencia web falsa, una persona falsa o suplantar a personas reales.
Cuando se trata de phishing, los atacantes pueden empezar utilizando ChatGPT y plataformas similares para generar correos electrónicos individuales que parezcan realistas. Con las versiones de código abierto de la tecnología, que también están disponibles rápidamente, aquellos con conocimientos más avanzados y acceso a cuentas de correo electrónico comprometidas podrán entrenar sus IA en las comunicaciones robadas de una empresa. Con secuencias de comandos y automatización, pueden crear un número infinito de comunicaciones personalizadas producidas en masa utilizando IA que pueden aprender en tiempo real lo que funciona y lo que no.
Si los atacantes piden directamente a ChatGPT que les sugiera alguna idea para un correo electrónico de phishing, recibirán un mensaje de advertencia de que ese tema "no es apropiado ni ético". Pero si piden sugerencias para un correo electrónico de marketing, o un correo electrónico para informar a la gente sobre una nueva página web de recursos humanos, o para pedir a alguien que revise un documento antes de una reunión... eso, ChatGPT estará encantado de hacerlo.
Normalmente, los operadores de campañas de phishing contrataban a estudiantes de inglés de las universidades locales para escribir sus correos electrónicos de phishing, lo que ralentizaba el flujo de trabajo y añadía costes. Ahora pueden utilizar ChatGPT. Esto se lo pondrá mucho más fácil a los hackers.
Y los correos electrónicos de phishing que produce ChatGPT son de mucha mayor calidad que la mayoría de los que generan los hackers hoy en día. Deberíamos esperar ver un fuerte crecimiento de los correos electrónicos de phishing que no tienen los errores gramaticales y de puntuación que los delatan.
Los atacantes también podrán utilizarlo para comprometer el correo electrónico empresarial (BEC) o para secuestrar conversaciones en curso.
Cómo ayuda a los atacantes la traducción incorporada de ChatGPT
ChatGPT no se limita al inglés. Dice que conoce unos 20 idiomas, entre ellos el ruso, el chino estándar y el coreano, pero la gente lo ha probado con casi 100. Esto significa que puedes explicar lo que necesitas en un idioma que no sea el inglés y pedirle a ChatGPT que te envíe el mensaje en inglés.
ChatGPT está bloqueado en Rusia, pero hay muchos comentarios en ruso que explican cómo acceder a él a través de proxies y servicios VPN y cómo conseguir un número de teléfono extranjero para confirmar tu ubicación.
Por ejemplo, un usuario demostró cómo utilizar un servicio en línea que ofrecía un número de teléfono compatible con OpenAI para enviar mensajes de texto por 32 rublos, menos de 50 céntimos de euro.
También hay discusiones en ruso sobre qué hacer si OpenAI mejora sus funciones de geobloqueo. "Estamos esperando un análogo de código abierto que pueda lanzarse en nuestras propias instalaciones o en Colab", dijo un comentarista de habla rusa. "Hasta ahora, para toda la tecnología OpenAI, tal análogo apareció muy rápidamente-en menos de un año. Así que hay muchas probabilidades de que el año que viene veamos algún tipo de GPTNeoChat que puedas ejecutar tú mismo sin preocuparte de bloqueos o censuras".
Por ejemplo, el generador de imágenes Dall-E 2 de OpenAI se puso a disposición del público, a través de una lista de espera, el pasado mes de julio, y pasó a ser totalmente abierto en septiembre. Por su parte, Stability AI lanzó su alternativa gratuita y de código abierto, Stable Diffusion, en agosto.
You.com, que lanzó su propio chatbot a finales de diciembre, ofreciendo la mayoría de las mismas funcionalidades que ChatGPT, no tiene geobloqueo. También existe una alternativa de pago, ChatSonic, que puede generar contenidos de larga duración.
Dependiendo de la región, puede llevar de unos segundos a unos minutos empezar a utilizar ChatGPT, mientras que el chatbot You.com no requiere registro, basta con hacer clic en un enlace.
Un informe de Check Point Research encontró datos más alarmantes de intentos por parte de ciberdelincuentes de saltarse las restricciones de ChatGPT de OpenAi.
La investigación reconoce que saltarse las restricciones geográficas de ChatGPT no es tan difícil pero, como se ha demostrado anteriormente, hay múltiples actividades que Check Point Research cree que tienen como objetivo implementar y probar ChatGPT en las operaciones delictivas diarias de los ciberdelincuentes.
Los defensores tendrán que centrarse en los fundamentos para contrarrestar los chatbots de IA
Varias herramientas del mercado ya afirman detectar contenidos escritos con IA, que sólo funcionan parcialmente para detectar el texto de ChatGPT. Sin embargo, si los usuarios habituales empiezan a utilizar ChatGPT y herramientas similares para mejorar sus propias comunicaciones -especialmente si la funcionalidad se incorpora a Office y a los clientes de correo electrónico-, dedicar todo el esfuerzo a intentar detectar el texto generado por IA sería una pérdida de tiempo.
ChatGPT y los grandes modelos lingüísticos en general se utilizarán mucho más para contenido benigno que para contenido malicioso. Así que no podemos deducir que algo sea malicioso sólo porque lo haya escrito una IA. Puede ser parte de la heurística, pero no toda la determinación.
Del mismo modo, la formación contra el phishing debe ir más allá de la mera búsqueda de correos electrónicos mal escritos o, en la era de la IA, correos electrónicos que parecen demasiado perfectos para haber sido escritos por humanos. Al fin y al cabo, no nos va a importar si algo ha sido escrito por una IA o no. Tenemos que entenderlo por lo que es, no por lo que lo ha escrito.
La concienciación sobre el phishing debería incluir, por ejemplo, pasar el ratón por encima de las URL para comprobar que son legítimas. Por ejemplo, los correos electrónicos de DHL. Los atacantes suelen copiar exactamente el texto y el formato de los correos reales de DHL, sustituyendo el enlace legítimo por uno malicioso. Los usuarios y las empresas también deberían empezar a prepararse para ataques de suplantación de identidad más avanzados.
Un hacker podría hacerse con los correos internos de alguien pirateando a cualquiera que haya recibido un correo de esa persona. Entonces pueden crear un estilo que esa persona escribió y falsificarlos, y hacer ataques de suplantación de identidad. Los estados-nación también podrían utilizar este método, empleando la IA para generar documentos filtrados de aspecto real pero completamente falsos para incrustarlos en un volcado de documentos filtrados. Es casi imposible probar una negativa.
Otros ataques a la reputación de una empresa podrían consistir en falsos artículos de noticias, comunicados de prensa, opiniones de clientes, entradas de blog, etcétera. Hoy en día ya existen, pero crear textos de alta calidad lleva mucho tiempo y es costoso. ChatGPT permitirá a los atacantes producir una variedad de comunicaciones, en todos los estilos diferentes, para impulsar cualquier narrativa que deseen.
Se trata de una carrera armamentística entre las capacidades que herramientas como ChatGPT pueden aportar y lo que las organizaciones necesitan hacer para garantizar que su negocio siga funcionando.
Los sitios web falsos pueden utilizarse para recopilar credenciales de los visitantes, difundir información errónea o proporcionar apoyo a una identidad falsa. Estamos viendo cómo se utilizan algunas de estas nuevas herramientas para crear campañas mucho más elaboradas.
Estrategias antiphishing para la era de la IA
Los expertos recomiendan que las empresas revisen o refuercen su formación antiphishing para estar preparadas para los correos electrónicos escritos con IA, y que refuercen sus medidas técnicas de seguridad. Entre ellas se incluyen:
Sandboxing de documentos de Word y otros archivos adjuntos para mantenerlos alejados de las redes corporativas.
Inspección del tráfico web a través de una pasarela web segura para proteger tanto a los usuarios locales como a los remotos.
Pasarelas de correo electrónico seguras
Comprobación de URL en busca de contenidos maliciosos o typosquatting
Implemente protocolos de seguridad del correo electrónico como DMARC, DKIM y SPF, que ayudan a evitar la suplantación de dominios y la manipulación de contenidos.
Facilite la notificación de correos electrónicos sospechosos.
Un enfoque de seguridad por capas sigue siendo el mejor, no solo para protegerse contra el phishing, sino contra otras amenazas impulsadas por la IA. Prevemos que el armamento de la IA persistirá mucho más allá de este año.
Fuente: CSO
Comments