ChatGPT – La carta escondida de los cibercriminales

ChatGPT puede servir para crear código malicioso o detectar grietas en infraestructuras que permitan iniciar un ataque.

[Empresa – Información Digital]

 

El uso de la Inteligencia Artificial (IA) en la creación del código permanente permite perfeccionar campañas de phishing y crear virus en nuevos lenguajes que facilitan la entrada de nuevos delincuentes en el sector.

La IA conversacional ha creado alerta entre los profesionales de todos los sectores. Los periodistas temen que puedan escribir noticias, los docentes, que faciliten la copia; los sanitarios, que ofrezcan diagnósticos sin contrastar…

 

ChatGPT y el crecimiento de las amenazas en la red y de los cibercriminales

Los expertos en seguridad no quedan al margen del paradigma que se abre, ya que herramientas como ChatGPT pueden servir para crear código malicioso o detectar grietas en infraestructuras que permitan iniciar un ataque.

Así lo alerta el ‘Libro blanco sobre la Inteligencia Artificial aplicada a la Ciberseguridad’, elaborado por la Agencia de Ciberseguridad de Catalunya y el Centre of Innovation for Data Tech and Artificial Intelligence (CIDAI)

El libro alerta de un posible crecimiento exponencial de las amenazas en la red y del número de cibercriminales.

Y es que con una simple búsqueda en YouTube, se pueden encontrar vídeos que demuestran como la solución creada por OpenAI puede generar los recursos necesarios para una campaña de phishing o para cambiar el cifrado criptográfico de los mecanismos de seguridad tradicionales.

 

Machine Learning y ChatGPT

La base de ChatGPT es el Machine Learning, que significa que aprende a medida que se usa la plataforma y que recibe nueva información.

«Esta lógica aplica también al código malicioso», explica el responsable del Servei de Ciència i Analítica de Dades de l’Agència de Ciberseguretat de Catalunya, Santi Romeu.

«No se le puede pedir directamente que cree un malware para acceder a un sistema o robar datos, pero sí que puede responder a preguntas más neutras que podría hacer cualquier administrador de redes para el mantenimiento».

Esta información tanto se puede utilizar para la gestión y mejora de infraestructuras, como para transgredirlas, por esto la solución las considera válidas y las responde.

«Como que la herramienta también contextualiza, puede ofrecer respuesta a una segunda y tercera pregunta que vayan en línea y que, cuando se juntan las informaciones que da como si fuera un puzle, el resultado final puede ser el código para una campaña de ‘pesca de credenciales'», informa Santi Romeu.

 

Trocear información

Esta dinámica de trocear  el objetivo final en preguntas diversas para juntar los resultados finales puede derivar en la obtención de piezas que ofrezcan el código completo para identificar los activos de una red.

Al igual que obtener cookies que faciliten la suplantación de una entidad, escribir código para copiar subdominios de una página o, entre otras, ofrecer la arquitectura de un sitio web o un sistema para que detecte grietas por donde entrar.

«Hace falta un poco de pericia, pero es claramente factible», reconoce el experto.

 

Abrir la puerta a los nuevos criminales

Aunque la IA conversacional permite generar código, su uso con objetivos ilícitos no está al alcance de todos. «Hay gente que no sabe programar, pero sí que sabe identificar piezas de código y juntarlas.

Con este conocimiento, si se tiene la motivación y el tiempo necesario, se puede abrir la oportunidad de lucrarse con la ciberdelincuencia», apunta Romeu, que cree que a medida que aumenten los conocimientos informáticos de la ciudadanía, «habrá más posibilidades que los programadores malos sean buenos con herramientas como ChatGPT”.

No obstante, eso también hará que los hackers éticos y los profesionales del sector «sean más buenos», añade.

 

Los ataques de phishing

Este futuro próximo también implica un incremento de los ataques, especialmente los de phishing, que según el security evangelist de Avast, Luis Corrons, son más fáciles de elaborar.

«Son emails, SMS y mensajes de creación sencilla que hasta ahora detectábamos con errores gramaticales u ortográficos. Si se aplica la IA, estos errores se corrigen e incluso, hasta se puede adaptar el vocabulario a la persona a la que nos dirijamos teniendo en cuenta donde vive».

Actualmente, estos incidentes representan el 66% de los registrados por la compañía, pero la previsión es que aumenten más que, por ejemplo, los troyanos, virus y otros programas maliciosos.

«Se pueden utilizar muchos lenguajes de programación para crearlos, pero si consigues que la IA te pase el código que ya tienes a otro lenguaje poco habitual, podrás saltarte la mayoría de las barreras de los programas de seguridad. Este sistema no está al alcance de todos, pero sí de los que tienen unas nociones básicas», explica.

Aunque el perfeccionamiento de las soluciones de Inteligencia Artificial pueden generar alarma, Corrons alerta de que el aumento de los ataques de ciberseguridad irán en alza.

«Es una tendencia natural porque cada vez vivimos más en la esfera digital, pero está claro que crecerán con más rapidez y de manera más exponencial a medida que salgan más, pero sin olvidar que los profesionales que frenamos la actividad también mejoramos»

 

Prevenir antes que curar

El hecho de que ChatGPT tenga la capacidad de identificar errores de código o vulnerabilidades en una infraestructura abre la puerta a explorar defectos desconocidos para los propietarios.

El responsable del Servei de Ciència i Analítica de Dades de l’Agència de Ciberseguretatde Catalunya, ve este escenario como una posibilidad para generar nuevos programas «vivos y que puedan propagarse en zonas restringidas de los ordenadores».

«Si la IA de OpenAI es capaz de encontrar estos errores y aprender para mejorar a medida que le lleguen más, aquí encontramos una clara facilidad para evolucionar los malwares a un ritmo vertiginoso y dotarlos de funcionalidades propias diferentes», lamenta Santi Romeu.

La vía para hacer frente a los riesgos que llegan no es más que utilizar también la IA. Las máquinas pueden detectar anomalías que los ojos no son capaces de ver, por eso hace falta aplicar el mismo sistema en la creación de entornos seguros para identificar grietas que pueden pasar por alto  los encargados del mantenimiento, la gestión o la misma escritura del código del sistema.

 

Proteger

La tecnología hace años que se utiliza en el sector de la ciberseguridad, aunque Romeu reconoce que el boom ha llegado ahora y que es el momento de poner más esfuerzos que nunca en la prevención.

«Los nuevos usos de la IA han de facilitar la detección de los agujeros para crear patrones e identificar un estado típico de una red o equipo. Así, cuando haya algún cambio o algún pequeño movimiento que no sea normal, salten las alarmas.

No se tratará tanto de responder delante de escenarios complejos y ya con afectación, sino de protegerte delante de anomalías que pueden ser el detonante de un ataque importante», añade.

En la protección delante de las amenazas, el machine learning ya es un sistema consolidado. «Sin él, las empresas de seguridad seríamos inútiles.

No porque no sepamos que hacer, sino porque las personas no podemos gestionar el gran volumen de datos y soluciones que vemos a diario. La tecnología nos permite trabajarlo todo y aprender a distinguir, nosotros y ella, lo que es bueno y lo que es malo». 

Por eso no se divisa un gran cambio en la operativa de los antivirus y cortafuegos, sino más bien un incremento de compañías y especialización.

«Cada vez necesitamos más soluciones y, seguramente, más hechas a medida. Para el usuario general continuaremos teniendo antivirus que pueden parar golpes ligeros o habituales, pero las empresas tendrán que destinar más recursos a estudiar sus infraestructuras y reforzarlas.

Es por esto que surgirán nuevas compañías centradas en este segundo colectivo que, con el tiempo, derivará en fusiones para tener empresas más fuertes».

 

 

Aida Corón
Periodista
Publicado en MetaData
El Digital de Tecnología
08-05-2023

Traducción Equipo Torrese – eMagazine 39ymas.com 

Origen de las imágenes:
pexels.com – Tara Winstead
freepik.es

Ver:

> ChatGPT o Google Bard – La OMS pide una IA segura y ética  
> Inteligencia artificial híbrida contra las Fake News     
> Chatbot – El asistente virtual que nos ayuda con los clientes  
> Errores de seguridad que cometemos al navegar por Internet  
> El metaverso – Un mundo paralelo alternativo
> Aprendizaje automático (Machine Learning) – Inteligencia Artificial – Carles Gomara

> Las criptomonedas – Estafas en webs promotoras
> Fraude en Internet – Cinco claves para detectarlo
> Gemelos digitales y ‘Blockchain’ – Tendencias tecnológicas 2023 – 1 
> Internet de las Cosas, Inteligencia Artificial y Metaverso – Tendencias 2023 – 2 
> El marketing digital y la inteligencia artificial 

 

 

1 – 02-06-2023