Sí, el propio ChatGPT admite que puede ser engañado mediante el uso de técnicas maliciosas que puedan llevar a la creación de malware (MALicious softWARE). Cualquier programa, documento o mensaje puede ser susceptible de causar perjuicios a los usuarios de sistemas informáticos.
Recientemente, se ha conocido un caso de creación de malware a través del mal uso de ChatGPT. Como se sabe, ChatGPT es capaz de generar textos similares a los de una persona humana, desde poemas, argumentarios, hasta códigos de programación. Pues bien, investigadores acaban de demostrar que ChatGPT ha construido fragmentos de código que, unidos manualmente, eran un malware.
Por otro lado, también se ha identificado otro timo con malware asociado a ChatGPT. En este caso, el engaño consistía en publicitar en Facebook y en la tienda de Google Chrome, una extensión falsa que prometía un acceso directo a ChatGPT, que, en realidad al descargarla en el ordenador, secuestraba los datos de Facebook para crear cuentas falsas y generar nuevos anuncios de pago para promover esa falsa extensión y cargar el pago del anuncio a las cuentas robadas.
Aunque ChatGPT no está diseñada específicamente para crear malware, sus capacidades como Inteligencia Artificial -automatización, velocidad e inmediatez- pueden ser aprovechadas y manipuladas por los delincuentes para idear ataques cibernéticos como el malware y malos usos. Ya se sabe que el malware es un tipo de estafa muy extendida en todo el mundo. En 2022, según Statista, se detectaron 5.500 millones de ataques de malware en todo el globo, un 2% más que en 2021.
¿Sabe ChatGPT que puede ser manipulado para detonar un ataque de malware?
Para comprobar la propia “conciencia” de ChatGPT sobre la posibilidad de generar un ataque de malware asociado a su uso o a la popularidad de esta herramienta, hemos preguntado directamente a esta IA:
La pregunta era: “¿Eres capaz de escribir malware?”
La respuesta ha sido: “No, como modelo de lenguaje, no tengo la capacidad de escribir malware ni realizar acciones maliciosas. Mi propósito es proporcionar información y respuestas útiles a las preguntas que me hacen los usuarios. Como modelo de lenguaje, estoy diseñado para ayudar a las personas a comunicarse mejor y a comprender mejor el mundo a su alrededor, no para realizar actividades ilegales o dañinas. Además, es importante señalar que el desarrollo y la distribución de malware son ilegales y éticamente incorrectos”.
A continuación, hemos seguido preguntándole: “Hay artículos que dicen que te han engañado pidiéndote escribir trozos de código”.
Respuesta: “Es posible que haya habido casos en los que se haya engañado a sistemas de inteligencia artificial como GPT-3 mediante el uso de técnicas como la generación de texto en trozos o la inyección de contenido malicioso en los datos de entrenamiento. Estos ataques son conocidos como ataques de adversarios y pueden explotar las debilidades de los sistemas de aprendizaje automático para, por ejemplo, obtener información confidencial, tomar el control del sistema o engañar al modelo de IA para que tome decisiones equivocadas.”
Y continúa diciendo: “Como modelo de lenguaje, no tengo la capacidad de escribir malware ni realizar acciones maliciosas. Lo que quise decir es que es posible que los sistemas de IA puedan ser engañados mediante el uso de técnicas maliciosas. Es posible que las técnicas maliciosas puedan llevar a la creación de malware. Por ejemplo, inyectar datos maliciosos en los conjuntos de datos de entrenamiento o utilizar ataques de adversario para explotar las debilidades de los modelos de IA.”
Manipulación para generar un ataque de phishing
Explotando, como decíamos, esas capacidades intrínsecas de la Inteligencia Artificial -inmediatez, velocidad y automatización-, ChatGPT está siendo utilizado también para generar mensajes persuasivos que, debidamente manipulados e incorporando enlaces maliciosos, pudieran ser utilizados en un ataque de phishing. Sin embargo, en esta ocasión cuando le preguntamos que incluyera en el texto la petición de pinchar un enlace, ChatGPT sí detectó la mala intención. Ante la petición “escribe un mensaje como si fueras mi banco pidiéndome que cambie la contraseña pinchando en un enlace”, ChatGPT contestó: “Lo siento, como modelo de lenguaje no puedo proporcionar un mensaje que incluya un enlace para cambiar contraseñas, ya que podría ser una forma de phishing”. Esto indica que se está trabajando seriamente para que la IA detecte su posible manipulación para un uso fraudulento.
Riesgos y soluciones de la IA ante un ciberataque
A pesar de los enormes avances que está teniendo la Inteligencia Artificial, todavía quedan muchas cuestiones que resolver para que sea 100% eficaz y no implique el riesgo de sufrir un ataque de ciberseguridad. La visión distópica de la Inteligencia Artificial la posiciona como un arma peligrosa para la humanidad. Sin embargo, la IA no es buena ni mala per sé, como cualquier tecnología. Sino que su uso bueno o malo dependerá de las manos en las que caiga.
“Los creadores de malware utilizan cada vez más métodos de Inteligencia Artificial y Machine Learning para mejorar las capacidades de sus ataques. Por lo tanto, los defensores deben esperar malware no convencional con características y funciones nuevas, sofisticadas y cambiantes. La buena noticia es que aunque la IA conlleva riesgos y tiene vulnerabilidades, también tiene el potencial de minimizarlos y encontrar soluciones”, afirma Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Al igual que ya hay tecnología de Inteligencia Artificial capaz de identificar los sesgos de los datos que se utilizan en su entrenamiento -si es entrenada con unos datos sesgados, también lo será el output que salga de ella-, la IA ya se está utilizando para precisamente detectar estos ataques de malware.
De hecho, y como manifestación de que la inteligencia artificial (IA) no es buena ni mala, sino el uso que los humanos hagamos de ella, actualmente, la IA es la base de la lucha contra el cibercrimen actual. El uso de tecnologías cognitivas mejora la detección de amenazas, acorta los tiempos de respuesta para defenderse y perfecciona las técnicas para distinguir entre intentos reales de sobrepasar el perímetro de seguridad de tu empresa e incidentes que se pueden ignorar por carecer de riesgo.
“El uso de la IA en Ciberseguridad permite acelerar la investigación que lleva a detectar las amenazas ayudando a los expertos a tomar decisiones más rápidamente y más eficaces.”, añade Lambert