¿ChatGPT está creando una pesadilla de ciberseguridad? Le preguntamos a los expertos
ChatGPT se siente bastante ineludible en este momento, con historias que se maravillan de sus habilidades aparentemente en todas partes. Hemos visto cómo puede escribir música, renderizar animaciones 3D y componer música. Si se te ocurre, ChatGPT probablemente pueda intentarlo.
Y ese es exactamente el problema. Hay todo tipo de preocupaciones en la comunidad tecnológica en este momento, y los comentaristas se preocupan con frecuencia de que la IA esté a punto de conducir a un apocalipsis de malware con incluso los piratas informáticos más inexpertos evocando troyanos y ransomware imparables.
Pero, ¿es esto realmente cierto? Para averiguarlo, hablé con varios expertos en seguridad cibernética para ver qué opinaban de las capacidades de malware de ChatGPT, si estaban preocupados por su potencial de uso indebido y qué puede hacer para protegerse en este nuevo mundo naciente.
Habilidades cuestionables
Uno de los principales atractivos de ChatGPT es su capacidad para realizar tareas complicadas con solo unas pocas indicaciones, especialmente en el mundo de la programación. El temor es que esto reduciría las barreras de entrada para la creación de malware, lo que podría poner en riesgo una proliferación de creadores de virus que confían en las herramientas de IA para hacer el trabajo pesado por ellos.
Joshua Long, analista jefe de seguridad de la firma de seguridad Intego, ilustra este punto. “Como cualquier herramienta en el mundo físico o virtual, el código de computadora puede usarse para bien o para mal”, explica. “Si solicita un código que pueda cifrar un archivo, por ejemplo, un bot como ChatGPT no puede conocer su intención real. Si afirma que necesita un código de encriptación para proteger sus propios archivos, el bot le creerá, incluso si su verdadero objetivo es crear ransomware”.
ChatGPT tiene varias medidas de seguridad para combatir este tipo de cosas, y el truco para los creadores de virus está en eludir esas medidas de seguridad. Pídele sin rodeos a ChatGPT que cree un virus efectivo y simplemente se negará, requiriendo que seas creativo para burlarlo y hacer que cumpla sus órdenes en contra de su mejor juicio. Teniendo en cuenta lo que las personas pueden hacer con los jailbreaks en ChatGPT , la posibilidad de crear malware usando IA parece posible en teoría. De hecho, ya se ha demostrado , por lo que sabemos que es posible.
Pero no todos entran en pánico. Martin Zugec, director de soluciones técnicas de Bitdefender, cree que los riesgos son aún bastante pequeños. “Es poco probable que la mayoría de los creadores de malware novatos posean las habilidades necesarias para eludir estas medidas de seguridad y, por lo tanto, el riesgo que representa el malware generado por chatbot sigue siendo relativamente bajo en este momento”, dice.
“El malware generado por chatbots ha sido un tema popular de discusión últimamente”, continúa Zugec, “pero actualmente no hay evidencia que sugiera que represente una amenaza significativa en el futuro cercano”. Y hay una razón simple para eso. Según Zugec, “la calidad del código de malware producido por los chatbots tiende a ser baja, lo que lo convierte en una opción menos atractiva para los escritores de malware experimentados que pueden encontrar mejores ejemplos en los repositorios de códigos públicos”.
Entonces, si bien es posible lograr que ChatGPT elabore un código malicioso, es probable que cualquiera que tenga las habilidades necesarias para manipular el chatbot de IA no se impresione con el código deficiente que crea, cree Zugec.
Pero como puede suponer, la IA generativa apenas está comenzando. Y para Long, eso significa que los riesgos de piratería que plantea ChatGPT aún no están grabados en piedra.
“Es posible que el auge de los bots de IA basados en LLM pueda conducir a un aumento de pequeño a moderado de nuevo malware, o a una mejora en las capacidades de malware y evasión de antivirus”, dice Long, usando un acrónimo de los grandes modelos de lenguaje que AI herramientas como ChatGPT utilizan para construir su conocimiento. "En este punto, sin embargo, no está claro cuánto impacto directo tienen, o tendrán, las herramientas como ChatGPT en las amenazas de malware del mundo real".
amigo de un pescador
Si las habilidades de escritura de código de ChatGPT aún no están a la altura, ¿podría ser una amenaza de otras maneras, como escribir campañas de phishing e ingeniería social más efectivas? Aquí, los analistas están de acuerdo en que hay mucho más potencial para el mal uso.
Para muchas empresas, un posible vector de ataque son los empleados de la empresa, que pueden ser engañados o manipulados para que, sin darse cuenta, proporcionen acceso donde no deberían. Los piratas informáticos lo saben, y ha habido muchos ataques de ingeniería social de alto perfil que han resultado desastrosos. Por ejemplo, se cree que Lazarus Group de Corea del Norte comenzó su intrusión de 2014 en los sistemas de Sony , lo que resultó en la filtración de películas inéditas e información personal, haciéndose pasar por un reclutador de trabajos y haciendo que un empleado de Sony abriera un archivo infectado.
Esta es un área en la que ChatGPT podría ayudar enormemente a los hackers y phishers a mejorar su trabajo. Si el inglés no es el idioma nativo de un actor de amenazas, por ejemplo, podría usar un chatbot de IA para escribir un correo electrónico de phishing convincente destinado a los hablantes de inglés. O podría usarse para crear rápidamente una gran cantidad de mensajes convincentes en mucho menos tiempo del que les tomaría a los actores de amenazas humanos hacer la misma tarea.
Las cosas podrían empeorar aún más cuando se agregan otras herramientas de inteligencia artificial. Tal como lo postularon Karen Renaud, Merrill Warkentin y George Westerman en Sloan Management Review del MIT , un estafador podría generar un script usando ChatGPT y hacer que una voz falsa lo lea por teléfono y se haga pasar por el director ejecutivo de una empresa. Para un empleado de la empresa que recibe la llamada, la voz sonaría y actuaría como su jefe. Si esa voz le pide al empleado que transfiera una suma de dinero a una nueva cuenta bancaria, el empleado bien puede caer en la trampa debido a la deferencia que le brinda a su jefe.
Como dice Long, “[los actores de amenazas] ya no tienen que depender de sus propias habilidades de inglés (a menudo imperfectas) para escribir un correo electrónico de estafa convincente. Ni siquiera deben idear su propia redacción inteligente y ejecutarla a través de Google Translate. En cambio, ChatGPT, totalmente inconsciente del potencial de intenciones maliciosas detrás de la solicitud, felizmente escribirá el texto completo del correo electrónico fraudulento en cualquier idioma deseado”.
Y todo lo que se requiere para que ChatGPT realmente haga esto es una indicación inteligente.
¿Puede ChatGPT mejorar su ciberseguridad?
Sin embargo, no todo es malo. Las mismas características que hacen de ChatGPT una herramienta atractiva para los actores de amenazas (su velocidad, su capacidad para encontrar fallas en el código) lo convierten en un recurso útil para los investigadores de seguridad cibernética y las empresas de antivirus.
Long señala que los investigadores ya están utilizando chatbots de IA para encontrar vulnerabilidades aún no descubiertas ("día cero") en el código, simplemente cargando el código y preguntando a ChatGPT para ver si puede detectar posibles debilidades. Eso significa que la misma metodología que podría debilitar las defensas puede usarse para apuntalarlas.
Y si bien el principal atractivo de ChatGPT para los actores de amenazas puede residir en su capacidad para escribir mensajes de phishing plausibles, esos mismos talentos pueden ayudar a capacitar a las empresas y los usuarios sobre lo que deben tener en cuenta para evitar ser estafados. También podría usarse para realizar ingeniería inversa de malware, lo que ayudaría a los investigadores y las empresas de seguridad a desarrollar rápidamente contramedidas.
En última instancia, ChatGPT en sí mismo no es intrínsecamente bueno o malo. Como señala Zugec, “el argumento de que la IA puede facilitar el desarrollo de malware podría aplicarse a cualquier otro avance tecnológico que haya beneficiado a los desarrolladores, como el software de código abierto o las plataformas de código compartido”.
En otras palabras, mientras las salvaguardas sigan mejorando, es posible que la amenaza que representan incluso los mejores chatbots de IA nunca se vuelva tan peligrosa como se predijo recientemente.
Cómo mantenerse a salvo
Si le preocupan las amenazas que plantean los chatbots de IA y el malware que se puede utilizar para crear, hay algunos pasos que puede seguir para protegerse. Zugec dice que es importante adoptar un "enfoque de defensa de múltiples capas" que incluya "implementar soluciones de seguridad de punto final, mantener el software y los sistemas actualizados y permanecer alerta contra mensajes o solicitudes sospechosas".
Mientras tanto, Long recomienda evitar los archivos que se le solicitan automáticamente que instale cuando visita un sitio web. Cuando se trata de actualizar o descargar una aplicación, consígala en la tienda de aplicaciones oficial o en el sitio web del proveedor del software. Y tenga cuidado al hacer clic en los resultados de búsqueda o iniciar sesión en un sitio web: los piratas informáticos pueden simplemente pagar para colocar sus sitios fraudulentos en la parte superior de los resultados de búsqueda y robar su información de inicio de sesión con sitios web similares cuidadosamente diseñados .
ChatGPT no va a ninguna parte, y tampoco el malware que tanto daño causa en todo el mundo. Si bien la amenaza de la capacidad de codificación de ChatGPT puede ser exagerada por ahora, su habilidad para crear correos electrónicos de phishing podría causar todo tipo de dolores de cabeza. Sin embargo, es muy posible protegerse de la amenaza que representa y asegurarse de no ser víctima. En este momento, una gran cantidad de precauciones, y una aplicación antivirus sólida, pueden ayudarlo a mantener sus dispositivos sanos y salvos.