No eres sólo tú: los ciberdelincuentes también están usando ChatGPT para simplificar su trabajo

Tanto si se trata de escribir textos como de analizar datos, ChatGPT puede servir para aligerar la carga de trabajo de una persona. Y lo mismo puede decirse en el caso de los ciberdelincuentes.

Sergey Shykevich, investigador principal de ChatGPT en la empresa de ciberseguridad Checkpoint security, ya ha visto a ciberdelincuentes aprovechar el poder de la IA para crear código que puede utilizarse en un ataque de ransomware.

El equipo de Shykevich comenzó a estudiar el potencial de la IA para adaptarse a los ciberdelitos en diciembre de 2021. Utilizando el gran modelo de lenguaje de la IA, crearon correos electrónicos de phishing y códigos maliciosos. A medida que se hizo evidente que ChatGPT podría usarse con fines ilegales, Shykevich explica a Business Insider que el equipo quería ver si sus hallazgos eran "teóricos" o si podían encontrar "a los malos usándolo en la naturaleza."

Dado que es difícil saber si un correo electrónico dañino enviado a la bandeja de entrada de alguien ha sido escrito con ChatGPT, su equipo recurrió a la dark web para ver cómo se utilizaba la aplicación.

El 21 de diciembre, encontraron su primera prueba: los ciberdelincuentes estaban utilizando el chatbot para crear un script en python que podría utilizarse en un ataque de malware. El código tenía algunos errores, afirma Shykevich, pero la mayor parte era correcta.

"Lo interesante es que los que lo publicaron nunca habían desarrollado nada antes", señala.

Así puede 'ayudar' ChatGPT a los ciberdelincuentes: desde estafas más elaboradas a directamente 'scripts' con los que crear programas maliciosos

Shykevich dice que ChatGPT y Codex, un servicio de OpenAI que puede escribir código para desarrolladores, "permitirán a gente con menos experiencia ser supuestos desarrolladores".

El mal uso de ChatGPT —que ahora alimenta el nuevo chatbot de Bing, ya de por sí problemático— preocupa a los expertos en ciberseguridad, que ven el potencial de los chatbots para ayudar en ataques de phishing, malware y hacking. 

Justin Fier, director de Cyber Intelligence & Analytics en Darktrace, una empresa de ciberseguridad, explica a Business Insider que en lo que respecta a los ataques de phishing, la barrera de entrada ya es baja, pero ChatGPT podría facilitar la labor de crear de forma eficiente docenas de correos electrónicos fraudulentos, siempre y cuando se elaboren buenas instrucciones. 

"En el caso del phishing, todo gira en torno al volumen: imagina 10.000 correos electrónicos muy selectivos. Y ahora, en lugar de 100 clics efectivos, tengo 3.000 o 4.000", explica Fier, refiriéndose al número hipotético de personas que pueden hacer clic en un correo electrónico de phishing, que se utiliza para que los usuarios faciliten información personal, como contraseñas bancarias. "Es una cifra enorme, y todo gira en torno a ese objetivo".

Una "película de ciencia ficción"

A principios de febrero, la empresa de ciberseguridad Blackberry publicó una encuesta realizada a 1.500 expertos en tecnología de la información, de los cuales el 74% afirmaba estar preocupado por la ayuda de ChatGPT a la ciberdelincuencia. 

La encuesta también reveló que el 71% cree que ChatGPT ya puede estar siendo utilizado por naciones-estado para atacar a otros países a través de intentos de hacking y phishing.

"Está bien documentado que quienes tienen intenciones maliciosas están tanteando el terreno pero, en el transcurso de este año, esperamos ver cómo los piratas informáticos dominan mucho mejor la forma de utilizar ChatGPT con éxito para fines nefastos", escribió en un comunicado de prensa Shishir Singh, director de Tecnología de Ciberseguridad de BlackBerry. 

Singh explica a Business Insider que estos temores se deben al rápido avance de la inteligencia artificial en el último año. Los expertos afirman que los avances en los grandes modelos lingüísticos —que ahora son más expertos en imitar el habla humana— han sido más rápidos de lo esperado.

Singh describe las rápidas innovaciones como algo sacado de una "película de ciencia ficción".

"Todo lo que hemos visto en los últimos 9 o 10 meses sólo lo habíamos visto en Hollywood", confiesa Singh. 

El uso de la ciberdelincuencia podría suponer una responsabilidad para Open AI

A medida que los ciberdelincuentes empiezan a añadir elementos como ChatGPT a su kit de herramientas, expertos como el antiguo fiscal federal estadounidense Edward McAndrew se preguntan si las empresas tendrían alguna responsabilidad por estos delitos.

Por ejemplo, McAndrew, que trabajó con el Departamento de Justicia de Estados Unidos en la investigación de la ciberdelincuencia, señala que si ChatGPT, o un chatbot como este, aconseja a alguien a cometer un ciberdelito, las empresas que facilitan estos chatbots podrían tener algún tipo de responsabilidad. 

Para hacer frente a los contenidos ilícitos o delictivos de terceros en sus sitios, la mayoría de las empresas tecnológicas citan la Sección 230 de la Ley de Decencia en las Comunicaciones de 1996. La ley estadounidense establece que los proveedores de sitios que permiten a la gente publicar contenidos —como Facebook o Twitter— no son responsables de la expresión en sus plataformas.

Sin embargo, dado que el discurso procede del propio chatbot, McAndrew afirma que la ley puede no proteger a OpenAI de demandas civiles o acciones judiciales, aunque las versiones de código abierto podrían dificultar la vinculación de los ciberdelitos con OpenAI. 

El alcance de las protecciones legales para las empresas tecnológicas en virtud de la Sección 230 también está siendo cuestionado ante el Tribunal Supremo de Estados Unidos por la familia de una mujer asesinada por terroristas del ISIS en 2015. La familia sostiene que Google debería ser considerado responsable de que su algoritmo promueva vídeos extremistas.

McAndrew también dice que ChatGPT también podría proporcionar un "tesoro de información" para aquellos encargados de reunir pruebas para tales crímenes si fueran capaces de citar a empresas como OpenAI.

En la encuesta de Blackberry, el 95% de los encuestados del sector tecnológico afirmaron que los Gobiernos deberían encargarse de crear y aplicar normativas.

McAndrew asegura que la tarea de regularla puede resultar complicada, ya que no existe un organismo o nivel de gobierno encargado exclusivamente de crear mandatos para la industria de la IA, y que el problema de la tecnología de IA va más allá de las fronteras de un país concreto como Estados Unidos. 

"Vamos a tener que contar con coaliciones internacionales y normas internacionales en torno al comportamiento cibernético, y preveo que tardaremos décadas en desarrollarlas, si es que alguna vez somos capaces de hacerlo".

ChatGPT ya se usa para escribir código malicioso, crear 'deepfakes' y otros fines dañinos: ¿quién nos puede proteger?

La tecnología aún no es perfecta para los ciberdelincuentes 

Un aspecto del ChatGPT que podría dificultar la ciberdelincuencia es que es famoso por ser ciertamente impreciso, lo que podría suponer un problema para un ciberdelincuente que intentara redactar un correo electrónico con la intención de imitar a otra persona, según explican los expertos a Business Insider. En el código que Shykevich y sus colegas descubrieron en la dark web, los errores requerían una serie de correcciones antes de que pudiera servir de ayuda en una estafa.

Además, ChatGPT sigue implementando controles de seguridad para disuadir las actividades ilegales, aunque estos controles a menudo pueden eludirse con el script adecuado. Shykevich señala que algunos ciberdelincuentes se inclinan ahora por los modelos API de ChatGPT, versiones de código abierto de la aplicación que no tienen las mismas restricciones de contenido que la interfaz de usuario web.

Shykevich también subraya que, por el momento, ChatGPT no puede ayudar a crear malware sofisticado ni a crear sitios web falsos que parezcan, por ejemplo, la página web de un banco importante.

Sin embargo, esto podría ser una realidad algún día, ya que la carrera armamentística de la IA creada por los gigantes tecnológicos podría acelerar el desarrollo de mejores chatbots, anticipa Shykevich a Business Insider.

"Me preocupa más el futuro, y ahora parece que el futuro no es dentro de 4 o 5 años, sino más bien dentro de un año o dos", sentencia Shykevich.

Open AI no ha respondido a la petición de declaraciones de Business Insider.