ChatGPT es un chatbot o sistema de chat desarrollado por OpenAI. Se trata de
un modelo basado en Inteligencia Artificial (GPT-3) que permite a las personas interactuar con este chatbot como si fuera una
persona real a través de texto. Fue entrenado con grandes cantidades de texto
para responder preguntas o proporcionar información. Y si bien presenta
errores, a través
del proceso de entrenamiento va mejorando su capacidad para interactuar de
forma automática ante las consultas de las personas.
Sin embargo,
como toda tecnología, también presenta ciertos riesgos en términos de
ciberseguridad, y es precisamente esto lo que vamos a analizar a continuación.
Supongamos que queremos generar un noticia falsa que se distribuya a lo largo
de internet. ¿Qué podríamos hacer? Apelando a la creatividad e ingresando los
parámetros correspondientes en torno a lo que queremos, esto será posible con
esta plataforma.
Fake News
Por ejemplo, le pedimos a ChatGPT que redacte un artículo en donde Elon Musk
sorpresivamente compra la empresa Meta y este fue el resultado:
Ataques de phishing
Es un hecho que cada vez resulta más difícil identificar los correos de
phishing. Cada vez son más dirigidos y por ende mucho más persuasivos. Hace unos
años atrás era mucho más sencillo detectarlos, ya que la redacción de estos
correos maliciosos era simplemente absurda, hasta incluso con errores
ortográficos. Ahora bien, le preguntamos a Chat-GPT si nos puede ayudar a
redactar correos electrónicos maliciosos de una manera mucho más fácil. Esta fue
su respuesta:
Como se observa, la herramienta claramente puede ser utilizada por actores
maliciosos para generar correos electrónicos persuasivos de manera
automatizada con la intención de engañar a las personas y que entreguen sus
credenciales.
Pero la prueba no terminó ahí, ya que decidimos hacer una prueba más y pedirle
a la herramienta que redacte un correo de phishing notificando sobre la
suspensión de una cuenta de Instagram. Este fue el resultado:
Es un hecho que a través de ChatGPT se pueden crear correos electrónicos de
phishing personalizados y muy convincentes para engañar a las víctimas y
obtener información confidencial de una manera automatizada.
Robo de identidad
Los ciberdelincuentes pueden utilizar Chat-GPT para crear engaños que se
presenten como si fueran de una institución confiable, como un banco o una
empresa, con el objetivo de obtener información privada y financiera de las
personas. Incluso pueden escribir en redes como si fueran celebridades.
Desarrollo de Malware
Esta plataforma puede ser de ayuda para el desarrollo de software, ya que se
puede utilizar como herramienta para la generación de código en diversos
lenguajes de programación. El tema es que el malware también es un software,
pero con fines maliciosos.
Realizamos una prueba y solicitamos a ChatGPT que escriba un programa en .NET
que llame a Powershell y descargue el payload.
Como se observa, ChatGPT advierte en color naranja los riesgos de la solicitud
y señala que incluso se podría estar violando la política de contenido del
servicio. Sin embargo, el código se generó igual, hasta incluso proporciona
una descripción detallada sobre cómo funciona.
Automatización de procesos ofensivos
A la hora de realizar ataques dirigidos los cibercriminales suelen realizar un
proceso de reconocimiento. Al igual que ocurre en los procesos de pentesting,
esta labor incluye realizar ciertas tareas que tienden a ser repetitivas. Sin
embargo, en los últimos años fueron surgiendo herramientas que permiten
acortar los tiempos de estas tareas. Teniendo esto en cuenta, ¿podría
utilizarse ChatGPT para estas actividades?
Nos pusimos en el rol de un atacante que quiere ingresar a un servidor LDAP
para ver qué usuarios hay en una empresa y probamos Chat GPT como herramienta
para automatizar este proceso. Teniendo en cuenta eso, le pedimos que cree un
script.
La plataforma nos proporciona un código en Python para enumerar los usuarios
de un Active Directory utilizando el protocolo LDAP. Quienes trabajan en
seguridad saben que a la hora de ejecutar ciertos procesos es recomendable
contar con un Cheat Sheet ágil para ejecutar ciertos comandos. Si, por
ejemplo, estoy en la fase de acceso, como cibercriminal, y necesito un script
para abrir una Shell reversa, simplemente utilizando ChatGPT lo podría obtener
esta información:
Chats maliciosos
ChatGPT cuenta con una API que permite alimentar a otros chats. Debido a su
interfaz amigable, podría ser utilizada para muchos usos beneficiosos, pero
lamentablemente también puede ser utilizada para usos maliciosos. Por ejemplo,
para engañar a las personas y realizar estafas muy persuasivas.
Conclusión
Tecnologías como ChatGPT vinieron a revolucionar y automatizar diversos
procesos. Lo más destacable de estas tecnologías probablemente sea que están
cambiando la forma en que nosotros interactuamos con las computadoras,
volviendo más democrático el acceso al conocimiento.
Con ChatGPT seguimos viendo el avance de la democratización y accesibilidad
del conocimiento, ¿pero acaso esto no está posibilitando también la
democratización del cibercrimen? Investigaciones ya han demostrado que los
cibercriminales ya comenzaron a utilizar ChatGPT
para utilizarlo como herramienta para desarrollar código malicioso y realizar
otro tipo de acciones fraudulentas. Es evidente que debemos seguir este tema
de cerca para ver cómo evoluciona y analizar lo que nos depara la evolución de
la Inteligencia Artificial y sobre todo el Machine Learning.
Fuente:
WeLiveSecurity
Los comentarios están cerrados.