Las 4 maneras en las que los ciberdelincuentes podrían sacar provecho de Chat GPT

El nuevo Chatbot, denominado como ChatGPT, de la compañía OpenAI, se ha transformado en una sensación al tener la capacidad de llevar a cabo cualquier actividad, desde dar consejos financieros hasta aprobar exámenes de admisión, solo con unas cuantas instrucciones de texto.

Dicho ChatGPT, fue adiestrado con una gran cantidad de texto para poder responder casi todo tipo de cuestionamientos; y si bien el sistema de Inteligencia Artificial (IA) no es perfecto y por lo tanto comete errores, por medio del proceso de entrenamiento y capacitación, va progresando su competencia para que de manera automática responda las consultas de los usuarios. 

De conformidad con Sol González, investigadora de seguridad informática de Eset Latinoamérica, este tipo de herramientas tecnológicas como ChatGPT han venido a revolucionar la forma en la que interactuamos con las computadoras y dan un mayor acceso al conocimiento; no obstante, al mismo tiempo también hacen posible la democratización del cibercrimen.

González comenta que diversas investigaciones ya han comprobado que los ciberdelincuentes ya han comenzado a usar este chatbot como un mecanismo para desarrollar códigos maliciosos y efectuar otro tipo de actividades fraudulentas.

Sol puntualiza, que es evidente que se debe seguir el tema de cerca y con mucha atención para poder visualizar la manera en la que se desarrolla y examinar lo que nos espera en la evolución de la IA y principalmente el Machine Learning.  

Al igual que cualquier otra tecnología, la IA generativa también es propensa a presentar amenazas en cuestión de seguridad. 

Realizando una analogía, así como el formato de Ransomware as a Service permite que actores con menores conocimientos tengan entrada a malware y solo deban preocuparse por preparar el correo de phishing con el que tratarán de engañar a los internautas, de igual manera Chat GPT también es un servicio accesible para cualquiera pueda utilizarlo, y así se facilitan determinadas tareas a los ciberdelincuentes.

¿Cómo los cibercriminales podrían sacar provecho de Chat GPT?

  1. Generación de desinformación y promoción de fake news. 

Solo basta un poco de imaginación, creatividad e ingresar las indicaciones adecuadas y el chatbot podría usarse para crear cualquier tipo de información falsa que podría difundirse de manera masiva por todo internet. 

Por mencionar un ejemplo, en la prueba que realizó ESET, se le solicitó al ChatGPT que elaborará un artículo en el cuál mencionara que Elon Musk sorpresivamente ha comprado a la compañía Meta y el resultado fue este:

  1. Desarrollo de campañas de email de phishing 

De conformidad con ESET, cada vez resulta más complicado detectar los correos que vienen infectados de phishing ya que los ciberdelincuentes se las ingenian para que sean más “confiables” y persuasivos. Desde hace años la redacción en los emails fraudulentos era muchas veces absurda y cargada de distintos errores ortográficos; no obstante, esto podría cambiar radicalmente con este chatbot. 

La empresa de ciberseguridad le cuestionó a ChatGPT, sí tendría la capacidad de elaborar un correo electrónico malicioso y esta fue su primer respuesta: 

En tal caso, el chatbot advirtió de forma acertada que no es correcto realizar esta clase de acciones; sin embargo, al intentar una vez más, la plataforma dió una nueva respuesta: 

Por lo tanto, los cibercriminales también podrían usar ChatGPT para diseñar fraudes que se presenten como si fueran una organización confiable, como algún banco, con la finalidad de sacar datos privados y financieros de las víctimas. Incluso podrían publicar en redes sociales como si fueran grandes celebridades.

  1. Desarrollo de malware

Sin duda, la inteligencia artificial generativa también podría ser útil para desarrollar software, puesto que tiene la capacidad de crear código en distintos lenguajes de programación. La unidad de investigación de ESET pidió al chatbot redactar un programa de malware en .NET que apele a Powershell y pueda descargar el payload.

La respuesta de ChatGPT alerta sobre los posibles riesgos de dicha solicitud y señala que inclusive se estaría infringiendo las políticas de contenido del servicio. A pesar de esto, la plataforma si fue capaz de generar un ejemplo de cómo podría visualizarse el código solicitado. 

  1. Automatización de procesos agresivos 

Al momento de ejecutar ataques dirigidos, los ciberdelincuentes suelen realizar un proceso de reconocimiento que abarca llevar a cabo tareas determinadas que tienden a ser bastante repetitivas. No obstante, existen mecanismos que permiten reducir los tiempos dichas tareas y sin problemas ChatGPT podría ser una de ellas.

ESET probó a la plataforma, aparentando ser un atacante que desea acceder a un servidor LDAP, para visualizar qué usuarios hay en una compañía y demostrar si ChatGPT es capaz de automatizar dicho procedimiento, solicitando el desarrollo de un script. 

El chatbot brindó un código en Python para enlistar los usuarios de un Active Directory usando el protocolo LDAP. Para los que laboran en seguridad saben que es conveniente disponer de un Cheat Sheet ágil para efectuar algunos comandos. Si, por ejemplo, se encuentra en la etapa de acceso, como ciberdelincuente, se requiere de un script para poder abrir un Shell reversa e implementado ChatGPT fácilmente se podría recabar dicha información.

Siguenos en instagram, compartimos contenido sobre transformación digital, tecnología, automatización de procesos e Inteligencia Artificial.