Los ciberdelincuentes comenzaron a utilizar ChatGPT, el chatbot artificialmente inteligente de OpenAI, para crear rápidamente herramientas de piratería, advirtieron investigadores de ciberseguridad el viernes. Los estafadores también están probando la capacidad de ChatGPT para construir otros chatbots diseñados para hacerse pasar por mujeres jóvenes y atrapar objetivos, dijo a Forbes un experto que monitorea foros criminales.
Muchos de los primeros usuarios de ChatGPT habían dado la alarma de que la aplicación, que se volvió viral en los días posteriores a su lanzamiento en diciembre, podría codificar software malicioso capaz de espiar las pulsaciones de teclado de los usuarios o crear ransomware.
El detrás de la ciberdelincuencia
Los foros criminales clandestinos finalmente se pusieron de moda, según un informe de la empresa de seguridad israelí Check Point. En una publicación del foro revisada por la compañía, un pirata informático que previamente había compartido malware de Android mostró un código escrito por ChatGPT que robó archivos de interés, los comprimió y los envió a través de la web. Mostraron otra herramienta que instalaba una puerta trasera en una computadora y podía cargar más malware a una PC infectada.
En el mismo foro, otro usuario compartió un código de Python que podía encriptar archivos y dijo que la aplicación de OpenAI les ayudó a construirlo. Afirmaron que era el primer guión que habían desarrollado. Como señaló Check Point en su informe, dicho código se puede usar para propósitos completamente benignos, pero también podría “modificarse fácilmente para encriptar la máquina de alguien por completo sin ninguna interacción del usuario”, similar a la forma en que funciona el ransomware.
Un usuario también habló sobre el "abuso" de ChatGPT al hacer que ayudara a codificar funciones de un mercado de la web oscura, similar a los bazares de drogas como Silk Road o Alphabay. Como ejemplo, el usuario mostró cómo el bot de chat podría crear rápidamente una aplicación que monitoreara los precios de las criptomonedas para un sistema de pago teórico.
Alex Holden, fundador de la compañía de inteligencia cibernética Hold Security, dijo que también había visto a estafadores de citas comenzar a usar ChatGPT. “Están planeando crear chatbots para hacerse pasar por chicas”, dijo. “Están tratando de automatizar la charla ociosa”.
OpenAI no había respondido a una solicitud de comentarios en el momento de la publicación.
Si bien las herramientas codificadas por ChatGPT parecían "bastante básicas", Check Point dijo que era solo cuestión de tiempo hasta que los piratas informáticos más "sofisticados" encontraran una manera de aprovechar la IA.
Rik Ferguson, vicepresidente de inteligencia de seguridad de la compañía estadounidense de ciberseguridad Forescout, dijo que no parecía que ChatGPT fuera capaz de codificar algo tan complejo como las principales cepas de ransomware que se han visto en incidentes de piratería importantes en los últimos años.
Sin embargo, la herramienta de OpenAI reducirá la barrera de entrada para que los novatos ingresen a ese mercado ilícito mediante la creación de malware más básico, pero igualmente efectivo, agregó Ferguson.
Además, expresó una preocupación adicional de que, en lugar de crear un código que robe los datos de las víctimas, ChatGPT también podría usarse para ayudar a crear sitios web y bots que engañan a los usuarios para que compartan su información. Podría "industrializar la creación y personalización de páginas web maliciosas, campañas de phishing altamente dirigidas y estafas basadas en ingeniería social", agregó Ferguson.
Sergey Shykevich, investigador de inteligencia de amenazas de Check Point, dijo a Forbes que ChatGPT será una "gran herramienta" para los piratas informáticos rusos que no son expertos en inglés para crear correos electrónicos de phishing que parezcan legítimos.
En cuanto a las protecciones contra el uso delictivo de ChatGPT, Shykevich dijo que, en última instancia, y "desafortunadamente", tendrá que hacerse cumplir con la regulación. OpenAI implementó algunos controles, evitando solicitudes obvias de ChatGPT para crear software espía con advertencias de violación de políticas, aunque los piratas informáticos y los periodistas encontraron formas de eludir esas protecciones. Shykevich dijo que es posible que las empresas como OpenAI tengan que estar legalmente obligadas a entrenar su IA para detectar dicho abuso.
*Con información de Forbes US.