Español
ภาษาไทย
ဗမာစာ
فارسی
Română
Italiano
Polski
اردو
Türkçe
Tiếng Việt
Français
한국어
Bahasa Indonesia
Deutsch
日本語
Русский
Português
हिन्दी
Suomi
नेपाली
Dansk
العربية
繁體中文
Norsk bokmål
Čeština
Filipino
עברית
Bahasa Melayu
Nederlands
বাংলা
English
Desde tareas relativamente simples, como escribir correos electrónicos, hasta trabajos más complejos, como redactar ensayos o compilar código, ChatGPT -- la herramienta de procesamiento de lenguaje natural impulsada por IA de OpenAI -- ha despertado un gran interés desde su lanzamiento.
Por supuesto, no es perfecto en absoluto: se sabe que comete errores y equivocaciones al interpretar la información que está aprendiendo, pero muchos lo consideran, junto con otras herramientas de inteligencia artificial, como el futuro de cómo utilizaremos Internet.
Los términos de servicio de OpenAI para ChatGPT prohíben específicamente la generación de malware, incluyendo ransomware, keyloggers, virus u "otro software destinado a causar algún nivel de daño". También prohíbe intentos de crear correo no deseado, así como casos de uso dirigidos a delitos informáticos.
Pero como ocurre con cualquier tecnología innovadora en línea, ya hay personas que están experimentando con cómo podrían aprovechar ChatGPT para fines más oscuros.
Tras el lanzamiento, no pasó mucho tiempo antes de que los delincuentes cibernéticos comenzaran a publicar hilos en foros clandestinos sobre cómo ChatGPT podría ser utilizado para facilitar actividades cibernéticas maliciosas, como escribir correos electrónicos de phishing o ayudar a compilar malware.
Y existe la preocupación de que los delincuentes intenten utilizar ChatGPT y otras herramientas de IA, como Google Bard, como parte de sus esfuerzos. Si bien estas herramientas de IA no revolucionarán los ciberataques, podrían ayudar a los criminales cibernéticos, incluso involuntariamente, a llevar a cabo campañas maliciosas de manera más eficiente.
"No creo, al menos a corto plazo, que ChatGPT vaya a generar nuevos tipos de ataques. El objetivo será hacer que sus operaciones diarias sean más eficientes en costos", afirma Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point, una empresa de ciberseguridad.
También: ¿Qué es ChatGPT y por qué es importante? Aquí tienes todo lo que necesitas saber
Los ataques de phishing son el componente más común de campañas maliciosas de hackeo y fraude. Ya sea que los atacantes estén enviando correos electrónicos para distribuir malware, enlaces de phishing o se estén utilizando para convencer a una víctima de transferir dinero, el correo electrónico es la herramienta clave en la coerción inicial.
Esa dependencia del correo electrónico hace que las pandillas necesiten un flujo constante de contenido claro y utilizable. En muchos casos, especialmente en el caso del phishing, el objetivo del atacante es persuadir a una persona para que haga algo, como transferir dinero. Afortunadamente, muchos de estos intentos de phishing son fáciles de identificar como correo no deseado en este momento. Pero un eficiente redactor automatizado podría hacer que esos correos electrónicos fueran más persuasivos.
El cibercrimen es una industria global, con criminales de todo tipo de países que envían correos electrónicos de phishing a posibles objetivos en todo el mundo. Eso significa que el idioma puede ser una barrera, especialmente para las campañas de spear-phishing más sofisticadas que se basan en que las víctimas crean que están hablando con un contacto de confianza. Es poco probable que alguien crea que está hablando con un colega si los correos electrónicos están llenos de errores ortográficos y gramaticales poco característicos o una puntuación extraña.
Pero si la IA se usa de manera correcta, se podría utilizar un chatbot para redactar textos en cualquier idioma que el atacante desee.
"La gran barrera para los ciberdelincuentes rusos es el idioma -- el inglés", dice Shykevich. "Ahora contratan graduados de estudios de inglés en universidades rusas para escribir correos electrónicos de phishing y trabajar en centros de llamadas -- y tienen que pagar dinero por esto."
Él continúa: "Algo como ChatGPT puede ahorrarles mucho dinero en la creación de una variedad de diferentes mensajes de phishing. Puede simplemente mejorar su vida. Creo que es el camino que buscarán".
En teoría, existen protecciones establecidas que están diseñadas para prevenir el abuso. Por ejemplo, ChatGPT requiere que los usuarios se registren con una dirección de correo electrónico y también requiere un número de teléfono para verificar el registro.
Y aunque ChatGPT se niega a escribir correos electrónicos de phishing, es posible pedirle que haga plantillas de correo electrónico para otros mensajes, que son comúnmente explotados por ciberatacantes. Ese esfuerzo podría incluir mensajes como afirmar que se ofrece un bono anual, que se debe descargar e instalar una actualización de software importante, o que se debe revisar un documento adjunto con urgencia.
"Redactar un correo electrónico para convencer a alguien de hacer clic en un enlace para obtener algo como una invitación a una conferencia, es muy efectivo y si eres un hablante no nativo de inglés, esto luce realmente bien", dice Adam Meyers, vicepresidente senior de inteligencia en Crowdstrike, proveedor de ciberseguridad e inteligencia de amenazas.
"Puedes hacer que cree una invitación correctamente formulada y gramaticalmente correcta que no necesariamente podrías hacer si no fueras hablante nativo de inglés."
Pero abusar de estas herramientas no se limita exclusivamente al correo electrónico; los criminales podrían usarlas para ayudar a redactar guiones para cualquier plataforma en línea basada en texto. Para los atacantes que ejecutan estafas, o incluso para grupos de amenazas cibernéticas avanzadas que intentan llevar a cabo campañas de espionaje, esto podría ser una herramienta útil, especialmente para crear perfiles sociales falsos para atraer a las personas.
"Si quieres generar un discurso empresarial plausible y sin sentido para LinkedIn para parecer un verdadero empresario intentando establecer conexiones, ChatGPT es genial para eso", dice Kelly Shortridge, una experta en ciberseguridad y tecnóloga principal de productos en el proveedor de computación en la nube Fastly.
Varios grupos de hackers intentan aprovecharse de LinkedIn y otras plataformas de redes sociales como herramientas para llevar a cabo campañas de ciberespionaje. Pero crear perfiles falsos que parezcan legítimos y llenarlos de publicaciones y mensajes es un proceso que requiere mucho tiempo.
Shortridge piensa que los atacantes podrían utilizar herramientas de IA como ChatGPT para escribir contenido convincente, al mismo tiempo que se benefician de ser menos laboriosas que hacer el trabajo manualmente.
"Muchas de esas campañas de ingeniería social requieren mucho esfuerzo porque hay que crear esos perfiles", dice, argumentando que las herramientas de inteligencia artificial podrían reducir considerablemente la barrera de entrada.
"Estoy segura de que ChatGPT podría escribir publicaciones de liderazgo intelectual bastante convincentes", dice ella.
La naturaleza de la innovación tecnológica implica que, cada vez que algo nuevo emerge, siempre habrá quienes intenten aprovecharlo con fines maliciosos. Y aunque se utilicen los métodos más innovadores para intentar prevenir el abuso, la astucia de los criminales cibernéticos y los estafadores significa que es probable que encuentren formas de eludir las protecciones.
"No hay forma de eliminar completamente el abuso a cero. Nunca ha sucedido con ningún sistema", dice Shykevich, quien espera que resaltar los posibles problemas de ciberseguridad signifique que haya más discusión sobre cómo evitar que los chatbots de IA sean explotados para fines erróneos.
"Es una gran tecnología, pero como siempre con nuevas tecnologías, hay riesgos y es importante discutirlos para estar conscientes de ellos. Y creo que cuanto más discutamos, más probable es que OpenAI y compañías similares inviertan más en reducir el abuso", sugiere él.
También hay un beneficio para la ciberseguridad en los chatbots de IA, como ChatGPT. Son especialmente buenos para manejar y entender código, por lo que existe el potencial de utilizarlos para ayudar a los defensores a comprender el malware. Como también pueden escribir código, es posible que, al ayudar a los desarrolladores con sus proyectos, estas herramientas puedan ayudar a crear un código mejor y más seguro de manera más rápida, lo cual es bueno para todos.
Como escribió recientemente Jeff Pollard, analista principal de Forrester, ChatGPT podría suponer una reducción masiva en el tiempo necesario para producir informes de incidentes de seguridad.
"Darles la vuelta más rápidamente significa más tiempo haciendo las otras cosas: probar, evaluar, investigar y responder, todo lo cual ayuda a los equipos de seguridad a escalar", señala, agregando que un bot podría sugerir acciones recomendadas basadas en los datos disponibles.
"Si la orquestación, automatización y respuesta de seguridad se configuran correctamente para acelerar la recuperación de artefactos, esto podría acelerar la detección y respuesta y ayudar a los analistas del [centro de operaciones de seguridad] a tomar mejores decisiones", dice él.
Entonces, los chatbots podrían dificultar la vida a algunos en ciberseguridad, pero también podrían haber aspectos positivos.
ZDNET contactó a OpenAI para obtener comentarios, pero no recibió respuesta. Sin embargo, ZDNET preguntó a ChatGPT qué reglas tiene implementadas para prevenir su abuso con fines de phishing, y obtuvimos el siguiente texto:
"Es importante tener en cuenta que si bien los modelos de lenguaje de IA como ChatGPT pueden generar texto similar a correos electrónicos de suplantación de identidad, no pueden llevar a cabo acciones maliciosas por sí mismos y requieren la intención y las acciones de un usuario para causar daño. Por lo tanto, es importante que los usuarios ejerzan precaución y buen juicio al utilizar la tecnología de IA y estén vigilantes para protegerse contra el phishing y otras actividades maliciosas."