Así puede 'ayudar' ChatGPT a los ciberdelincuentes: desde estafas más elaboradas a directamente 'scripts' con los que crear programas maliciosos

La figura de un hacker o un ciberdelincuente.

REUTERS/Kacper Pempel

  • ChatGPT, la IA generadora de texto diseñada por OpenAI, es una herramienta muy poderosa que en malas manos puede tener consecuencias imprevisibles.
  • OpenAI dispone de límites geográficos pero ciberdelincuentes rusos ya saben cómo sortearlos.
  • Así pueden usar los criminales informáticos este sistema de IA para mejorar sus estafas y diseñar programas maliciosos.

La inteligencia artificial generadora de texto que ha desarrollado OpenAI sigue copando titulares. ChatGPT, que toma su nombre del motor de procesamiento de lenguaje natural GPT —cuya versión ahora mismo es GPT-3— sorprendió a propios y extraños a finales del año pasado al crear uno de los chatbots más avanzados del sector.

El avance con ChatGPT —y el inminente despliegue de GPT-4— ha levantado entusiasmo entre mucha gente, que le ve un enorme potencial a la hora de agilizar procesos o redactar informes, aunque ha puesto en pie de guerra a periodistas y activistas, que temen un nuevo auge de noticias falsas, o a profesores, ante la idea de que la IA le haga los deberes a sus alumnos.

El problema es que uno de los colectivos que con más entusiasmo ha recibido a ChatGPT no es otro que el de los ciberdelincuentes. Expertos en ciberseguridad llevan advirtiéndolo semanas y ya se han dado casos en los que este riesgo se ha consumado: esta IA generadora de texto puede ayudar a los criminales informáticos a perfeccionar y sofisticar sus ataques.

ChatGPT llegará a las aulas, los hospitales, los departamentos de marketing y a cualquier sitio con el auge de nuevas startups

Fraudes rudimentarios que llegan por correo electrónico, como el del príncipe nigeriano, podrían tener los días contados. Si algo caracterizaba a este tipo de estafas es que los textos que los ciberdelincuentes enviaban a sus víctimas no estaban del todo pulidos. A menudo, estos criminales son nativos en lenguas que no son el inglés o el español.

De esa manera, era sencillo detectar si un ciberdelincuente estaba intentando suplantar a un CEO o a un compañero de trabajo en tu bandeja de entrada. Su estilo o, directamente, sus faltas de ortografía, le delataban.

Con ChatGPT escribiendo a la perfección en idiomas como el inglés o el español todo esto se ha vuelto mucho más complicado.

Qué está haciendo OpenAI para evitar que su herramienta caiga en malas manos

El potencial de ChatGPT para sofisticar intentos de estafa es alto, tanto que los criminales informáticos están intentando acceder al servicio para perfeccionar los textos con los que intentan engañar a sus víctimas. OpenAI, la firma que desarrolla este modelo de IA, es consciente de ello, con lo que ha impuesto limitaciones de uso en algunas ubicaciones geográficas.

Una de esas limitaciones tiene que ver con el actual conflicto bélico, desatado tras la invasión de Ucrania por parte de Rusia. El acceso a la API de ChatGPT está vetado en Rusia. En este país, además, hay muchísimas mafias de criminales informáticos, algunas de ellas directamente patrocinadas por las agencias del Kremlin.

Los ciberdelincuentes rusohablantes han creado tutoriales para poder sortear estos vetos. Por ejemplo, OpenAI ofrece acceso a una versión de pago de ChatGPT que no puede adquirirse con tarjetas de crédito rusas. Check Point, una firma de ciberseguridad israelí, ha descubierto cómo estas organizaciones criminales están logrando sortear ese obstáculo.

Las herramientas de IA generativa pueden utilizarse para crear una gran variedad de textos e imágenes como ésta, producida por DALL-E 2 de OpenAI.

Las mafias detectaron que el veto de OpenAI geográfico se da por dirección IP, número de teléfono y tarjeta de crédito. Sin embargo, ya hay tutoriales en ruso en foros de hacking y en la dark web en los que se explica cómo se puede sortear esa limitación con servicios de mensajería semilegales. Con ellos, por solo 6 rublos —8 céntimos de euro— pueden recibir SMS a un número de otro país.

De esta manera, los ciberdelincuentes pueden acceder a la API de ChatGPT que sí es de pago.

En diciembre de 2022 un asesor de OpenAI reveló que en la compañía eran conscientes de las dificultades para distinguir el texto que generase su inteligencia artificial con el texto generado por un humano, por lo que sobre la mesa había varias ideas, como desarrollar una suerte de marca de agua que ayudase a detectar si un texto era generado por este tipo de herramientas.

La IA generadora de texto en manos de sus ciberdelincuentes supone algo más peligroso que evitar faltas de ortografía

En cualquier caso, el interés de los ciberdelincuentes por IA generadoras de texto como la de OpenAI —y sus competidoras— no se circunscribe únicamente a mejorar el estilo y los escritos con los que intentan engañar a sus víctimas. Estas herramientas también sirven como asistentes de programación, ya que es capaz de recomendar y escribir algo de código simple.

Fue la misma compañía, Check Point, la que advirtió de ello en la primera semana de 2023. Sus investigadores hallaron conversaciones en foros de hacking sobre cómo algunos criminales habían logrado que las IA les escribiese scripts simples en lenguajes como Python, generando programas capaces de extraer y robar información de sus víctimas.

Otro ejemplo es el de ChatGPT ofreciendo al usuario scripts con los que montar incluso una plataforma de comercio electrónico pensada para la dark web, al arrojar precios en criptomonedas, como sucede habitualmente en estos servicios generalmente ilícitos de la parte más oscura de la red.

Esta emprendedora ha usado ChatGPT para escribir un libro infantil en 2 horas: quiere demostrar que la IA generativa puede ser una poderosa herramienta de aprendizaje

Hace apenas unos días, investigadores de Microsoft y varias universidades estadounidenses hallaron también un método que bautizaron como Trojan Puzzle a través del cuál es posible intoxicar las bases de datos de las IA generadoras de texto para que estas recomienden líneas de código malicioso aun cuando en apariencia sean líneas de código legítimo.

Esto abre la puerta a que desarrolladores nóveles y que no pongan mucho atención en los códigos que la plataforma le recomienda acaben utilizando en sus desarrollos código que deja puertas traseras abiertas y crea preocupantes vulnerabilidades que los ciberdelincuentes podrían aprovechar más adelante.

Cada vez más voces autorizadas advierten de los enormes desafíos que la IA está creando en el ámbito de la ciberseguridad. No en balde, es la propia ChatGPT la que responde lo siguiente si se le pregunta "de qué manera puede ayudar a los ciberdelincuentes":

"Aunque [ChatGPT] puede ser útil para automatizar tareas, generar contenido o mejorar la interacción con los usuarios, también podría ser utilizado de manera indebida por ciberdelincuentes para automatizar ataques, generar engaños y phishing, o para evadir detección mediante el uso de lenguaje natural más sofisticado". 

"Es importante recordar que ChatGPT es solo una herramienta, y su uso dependerá de las intenciones de quien lo utilice".

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.