Como en muchos otros sectores, en el mundo de la ciberseguridad la Inteligencia Artificial (IA) es una aliada poderosa, tanto para los profesionales como para los criminales. Los ciberdelincuentes siguen experimentando métodos para aplicar herramientas de IA a sus estafas. Por eso es importante entender cómo piensan, qué tácticas emplean y los riesgos que plantean. De esta forma, usuarios y organizaciones podrán proteger mejor sus sistemas contra el uso indebido o los abusos relacionados con las nuevas tecnologías.
Uno de los principales puntos de inquietud son las implicaciones de las herramientas de IA generativa respecto a la ciberseguridad. En particular, los llamados GPT (generative pre-trained transformer), versiones personalizables de la herramienta ChatGPT, presentados por OpenAI el 6 de noviembre de 2023. Permiten a los usuarios añadir instrucciones específicas, integrar API (interfaz de programación de aplicaciones) externas e incorporar fuentes de conocimiento únicas. Una característica que abre la posibilidad a los usuarios de crear aplicaciones altamente especializadas, como bots de soporte técnico, herramientas educativas, etc.
Además, OpenAI ofrece a los desarrolladores opciones de monetización para los GPT, a través de un mercado dedicado. Los especialistas en ciberseguridad señalan que las GPT plantean nuevos interrogantes respecto a la seguridad. Un riesgo notable es la exposición de datos confidenciales, conocimientos patentados o incluso claves API que puedan incluirse en las instrucciones que los usuarios proporcionan a la IA generativa para obtener los resultados deseados.
Los actores maliciosos podrían utilizar la IA, en concreto laingeniería social, para hacerse pasar por plataformas GPT o conseguir credenciales de uso y lograr así gran cantidad de información sensible. A partir de ahí, los atacantes pueden utilizar esos conocimientos para recabar datos, como instrucciones, archivos de configuración y mucho más. Esto puede ser tan sencillo como pedir a la GPT personalizada que enumere todos los archivos cargados y las instrucciones personalizadas o solicitar información de depuración.
O bien, tácticas más sofisticadas como solicitar a la GPT que comprima uno de los archivos PDF y cree un enlace descargable, o pedir a la GPT que enumere todas sus capacidades en un formato de tabla estructuradas. Estos riesgos pueden evitarse no cargando datos sensibles, o también utilizando protección basada en instrucciones, aunque incluso éstas pueden no ser infalibles.
Por otro lado, están las posibles utilizaciones de esta nueva tecnología para potenciar el alcance de las ciberamenazas. Por ahora, se están aplicando para tareas más sencillas, como escribir correos electrónicos de phishing y generar fragmentos de código que puedan integrarse en ataques. Además, se ha observado que algunos atacantes proporcionan código malicioso a sistemas de IA para su análisis. En un esfuerzo por “normalizar” dicho código como inofensivo.
Evitar el alarmismo
No obstante, cabe señalar que existe un cierto alarmismo por parte de algunos medios de comunicación o artículos online. Se han realizado análisis de seguridad, a partir de información obtenida en foros de la dark web. Estos muestran que varias de las supuestas “ciberherramientas de IA” que los criminales estarían desarrollando son en realidad versiones de Modelos Extensos de Lenguaje (LLM) sin capacidades avanzadas, una tecnología básica de acceso público.
Los resultados finales de estos productos vendidos como Saas (software as a service), en algunas ocasiones, fueron calificados como “estafas” por delincuentes insatisfechos con las herramientas que habían adquirido.
En realidad, los ciberdelincuentes todavía están explorando cómo aprovechar las posibilidades de la IA de la forma más eficaz. En este sentido, están experimentando los mismos problemas y deficiencias que los usuarios legítimos, como alucinaciones (datos erróneos no justificados) o capacidades limitadas. Según muchas de las estimaciones, los hackers aún necesitarán años antes de poder utilizar la IA generativa (GenAI) de forma eficaz.
Seguir leyendo: El grupo 8Base se hace fuerte en la “Champions League” de la ciberdelincuencia