Alertan del posible uso de ChatGPT para perfeccionar las estafas online
Las capacidades de la nueva inteligencia artificial ChatGPT han puesto a esta herramienta en el centro del debate tecnológico. Múltiples usuarios y expertos en diferentes campos experimentan con la versión de prueba y analizan cómo se desenvuelve ante sus distintas órdenes, ya sea escribir la vida de Cervantes como una canción de rap, detectar errores en el código de una aplicación o explicar las ondas gravitacionales en un lenguaje accesible para un niño de 10 años. El problema, según han alertado varias empresas de ciberseguridad, es que los grupos de ciberdelincuentes también pueden aprovechar esas capacidades.
ChatGPT puede preparar código informático, incluso de capacidades ofensivas. Sin embargo, uno de los factores más preocupantes para los especialistas es que pueda ayudar a los grupos de cibercriminales a mejorar su léxico, no sus virus. “Aunque ChatGPT no está diseñado para un uso criminal, puede ayudar a los ciberatacantes, por ejemplo, a escribir correos electrónicos de phishing creíbles y personalizados”, explica Vladislav Tushkanov, de la firma de ciberseguridad Kaspersky.
El phishing es un tipo de fraude online en la que los atacantes se ponen en contacto con los usuarios y, suplantando la identidad de empresas o instituciones públicas, intentan engañarle para que pinche en enlaces maliciosos o descargue archivos infectados. Este tipo de estafa se reproduce desde hace más de una década a través del correo electrónico pero lejos de desaparecer, se está extendiendo a nuevos campos gracias a la mayor facilidad para acceder a datos personales que permiten adaptarlas y aumentar sus posibilidades de éxito. En los últimos años se ha hecho habitual en los mensajes SMS o incluso en las búsquedas de Google. También se reproduce a través de WhatsApp suplantando a familiares y amigos.
Uno de los principales consejos que ofrecen los especialistas para no caer víctima de phishing es prestar atención al mensaje. “Muchos de los correos de phishing contienen errores ortográficos y de redacción, no son propios de entidades debido al uso de traductores automáticos”, explica por ejemplo la Guía para aprender a identificar fraudes online del Instituto Nacional de Ciberseguridad (Incibe). Aquí es donde entra en juego ChatGPT, puesto la inteligencia artificial es capaz de redactar cualquier tipo de email o mensaje sin ninguna falta de ortografía y con el vocabulario que usaría una institución pública.
De esta forma, ChatGPT puede avisar de una multa sin pagar, de un acceso no autorizado a la cuenta bancaria, de una nueva oferta en una tienda en la que somos compradores habituales y otros ganchos habituales que los cibercriminales lanzan a los usuarios para que pinchen en enlaces maliciosos. En las pruebas realizadas por elDiario.es, la inteligencia artificial ha redactado varios correos en español con esta temática tras recibir la orden de hacerlo en otros idiomas:
En algunas de las pruebas realizadas por este medio ChatGPT ha detectado algo inusual y ha incluido un aviso o “notas” al final de su correo con avisos para el usuario. En algunas ocasiones lo ha hecho en español para advertir de que para cumplir con las leyes locales es necesario “revisar la normativa de tu país o ciudad”. En una ocasión en el que el enlace de contacto facilitado hacía referencia al phishing, ChatGPT se ha negado a redactarlo:
No obstante, al eliminar la palabra “phishing” de la petición, ha procedido a cumplir con la orden. “Es cierto que cuando esta herramienta detecta una mala intención la rechaza, pero se ha comprobado que actualmente, reorientando la pregunta, es posible acabar saltándose estas barreras”, explica a elDiario.es Eusebio Nieva, de la firma de ciberseguridad Check Point.
“Escribir mensajes personalizados suponía hasta ahora un gran esfuerzo para los ciberdelincuentes, pero con ChatGPT ya no será así: permite crear correos de phishing persuasivos, personalizados y masivos. De este modo, se prevé que los ataques de éxito basados en este modelo de Inteligencia Artificial crecerán”, inciden desde Kaspersky.
Virus informáticos configurados con IA
Uno de los usos de ChatGPT que más está llamando la atención de los especialistas es su capacidad para trabajar con código informático. Puede analizarlo, interpretarlo, corregirlo y mejorarlo. Como en el caso de los lenguajes naturales, estas habilidades pueden ser explotadas por cualquier persona independientemente de sus fines.
Según los datos facilitados por Check Point, “en las últimas semanas se han podido recopilar pruebas de que algunos ciberdelincuentes están comenzando a comercializar diferentes herramientas de malware desarrolladas a través de ChatGPT, a través de los foros de la Dark Net. Un incipiente interés que se está extendiendo entre los ciberdelincuentes de todo el mundo, incluyendo ya a países como Rusia, que están comenzando a saltarse las restricciones para el acceso a OpenAI existentes en su territorio”, dice Nieva.
En los foros de la Internet oscura donde se produce la compraventa de malware y de información valiosa para llevar a cabo ataques informáticos, los investigadores ya han detectado casos en los que los cibercriminales dicen estar usando ChatGPT. “El 21 de diciembre de 2022 un ciberdelincuente apodado USDoD publicó un script en Python al que se refirió como ”el primer script que había creado“. Tras este comentario, cuando otro ciberdelincuente comentó que el estilo del código se parecía al de OpenAI, USDoD confirmó que esta novedosa tecnología le echó una ”buena mano para terminar el script con un buen alcance“. Esto podría significar que los atacantes que tienen poca o ninguna habilidad de desarrollo, podrían aprovecharla para desarrollar herramientas maliciosas y ganar en capacidades técnicas”, refleja Nieva.
Aunque las firmas de ciberseguridad recuerdan que “ChatGPT no es capaz de convertirse en un sistema de piratería autónomo”, sí concuerdan en que puede ayudar a que aquellos atacantes de menos nivel mejoren tanto la credibilidad de sus ganchos como la efectividad del código malicioso que utilizan. Aunque usuarios y empresas “están cada vez más protegidos”, los especialistas recuerdan que existe “una carrera constante frente a unos ciberdelincuentes cada vez mejor organizados”.
Por ello, tanto estas firmas como los organismos de ciberseguridad piden a los ciudadanos que se mantengan vigilantes y que en el caso de los intentos de phishing, presten atención a las otras señales de alarma características de estas estafas.
3