La llegada de ChatGTP, una herramienta de conversación alimentada por la inteligencia artificial (IA), captó de inmediato la atención de una enorme cantidad de personas y se convirtió en un recurso para realizar numerosas actividades, desde escribir artículos, redactar y corregir ensayos, traducir textos, componer canciones, hacer pitches de ventas e incluso hasta crear y corregir código.
Su popularidad ha sido tal que hasta agosto de 2023 se estimaba que existían 100 millones de usuarios activos al mes, y tan solo el mes previo recibió 1,500 millones de visitas. Algunos expertos calificaron a GPT-3 como el mayor paso dado en el desarrollo de la inteligencia artificial, aunque también se le ha criticado por su falta de conocimiento del sentido común y su susceptibilidad a producir respuestas sesgadas o engañosas.
Desde su lanzamiento en noviembre de 2022, este chatbot ha generado acaloradas polémicas, especialmente alrededor de su utilización para fines malintencionados.
Se descubrió recientemente que un grupo de ciberdelincuentes estaban utilizando ChatGTP para generar malware y ejecutar ataques de software malicioso. Si bien repercutió en los medios y en los círculos de los profesionales de la seguridad, ya se preveía que pudiera utilizarse para esas actividades.
Y es que con recursos mínimos y prácticamente ningún conocimiento sobre desarrollo de código, cualquier persona puede utilizar ChatGTP para generar malware. Por eso no sorprende que una nueva generación de ciberdelincuentes esté lanzando numerosas campañas de malware.
Incluso trascendió que en un foro de piratería alguien alardeara de que fue capaz de crear varias cepas y técnicas de malware a partir de investigaciones y análisis de ataques que obtuvo del chat.
Riesgos potenciales
Cuando el propósito es afectar a terceros, los ciberdelincuentes pueden encontrar en ChatGTP una fuente rica de posibilidades para lograr sus propósitos. Por ejemplo, podría utilizarse para generar fake news para ser distribuidas en el ciberespacio. La creatividad y dinamismo del chatbot podría contribuir a la desinformación al darle un aspecto genuino a una noticia falsa.
ChatGTP también está ayudando a los ciberdelincuentes a pulir sus correos de phishing para que luzcan cada vez más auténticos. Esta característica hará más complicado diferenciar los mensajes de phishing debido al nivel de personalización y persuasión que puede lograrse.
Aunque, por ahora, el chatbot puede negarse a redactar un correo fraudulento, debido a los códigos de ética que lo rigen, sí puede crear un correo que contenga un lenguaje persuasivo que pueda ser modificado por el sujeto que lo solicitó para darle un mal uso.
Lo anterior también abre la posibilidad de utilizar ChatGTP para redactar textos aparentemente provenientes de organizaciones reales, como bancos o empresas, cuyo objetivo es persuadir a los destinatarios de proveer información privada y financiera.
Asimismo, ChatGTP tiene una API que permite que otros chats se conecten a él. Si bien es un beneficio importante para los usuarios, también puede usarse para fines obscuros. Específicamente, si un ciberdelincuente logra intermediar entre ambos extremos, podría proveer información falsa y engañar a las personas para realizar estafas y engaños.
Desarrollo de malware
ChatGTP ha sido aprovechado por profesionales de las TI para acelerar el desarrollo de software, teniendo acceso a útiles piezas de código. Pero también hay actores malintencionados que están aprovechando esta plataforma para desarrollar malware.
En diversas pruebas realizadas, se le ha pedido al bot escribir un software en distintos lenguajes de programación y crear una carga maliciosa para acceder a sistemas de terceros. Si bien ChatGTP advierte sobre los riesgos e indica una posible falta a sus políticas de contenido, se genera el código e incluso llega a describir su modo de operar.
También se ha reportado que en la Dark Web los ciberdelincuentes comparten scripts generados con ChatGTP que pueden utilizarse para crear herramientas de cifrado para acceder a sistemas o extraer información sensible.
Existe incluso un foro denominado “ChatGTP – beneficios del malware”, que daba cuenta de cómo se estaba usando esta herramienta de IA para crear malware y utilizar técnicas sobre su uso, contenido que podía ser utilizado por usuarios neófitos para aprender a utilizar el código malicioso
Siempre con cautela
Al igual que con cualquier herramienta tecnológica, sus prestaciones están enfocadas a facilitar las actividades diarias de personas y empresas y tener acceso a datos útiles para realizarlas efectivamente.
Por tanto, es recomendable supervisar el uso de las aplicaciones y limitar la exposición de información confidencial a través de ellas, así como tener visibilidad de lo que sucede en la red corporativa mediante herramientas automatizadas que monitoreen las aplicaciones a las que acceden los usuarios, como ChatGTP.
En este sentido, es vital conocer el nivel de riesgo que plantea cada aplicación y definir políticas de control de acceso en tiempo real con base en categorías y condiciones de seguridad, las cuales pueden cambiar en el corto a mediano plazo.
El uso de ChatGTP irá en aumento, sin duda, por lo que es fundamental hacer conscientes a los usuarios de los posibles riesgos e implementar prácticas seguras que les permitan obtener los beneficios de esta herramienta que continuará evolucionando.
