ChatGPT, la inteligencia artificial de moda, permite que cualquiera pueda lanzar un ciberataque

Puede escribir poes¨ªa barroca, redactar una carta a los Reyes Magos con expresiones infantiles o preparar trabajos universitarios convincentes. Tambi¨¦n es capaz de adivinar acertijos y hasta de programar. El bot conversacional ChatGPT es el juguete de moda entre los techies. Tambi¨¦n ha conectado con el gran p¨²blico gracias a su f¨¢cil manejo: simplemente hay que hacerle preguntas por escrito, como en un chat cualquiera. Pero este sistema de inteligencia artificial (IA) desarrollado por OpenAI, empresa cofundada por Elon Musk, trae consigo nuevos riesgos. Entre ellos, ayudar a que cualquiera pueda lanzar un ciberataque.

Un equipo de analistas de la firma de ciberseguridad Check Point ha usado ChatGPT y Codex, una herramienta similar enfocada a la programaci¨®n, para desarrollar un ataque completo de phishing sin escribir una sola l¨ªnea de c¨®digo. El phishing es una de las t¨¦cnicas preferidas de los ciberdelincuentes en la actualidad: consiste en enga?ar al usuario para que pinche voluntariamente en un enlace que descargar¨¢ en su equipo el malware, o software malicioso, que luego robar¨¢ informaci¨®n o dinero. El ejemplo t¨ªpico es un email supuestamente mandado por el banco que solicita al usuario introducir sus credenciales para hacerse con ellas.

Los investigadores de Check Point le pidieron a las citadas herramientas autom¨¢ticas que redactase el correo electr¨®nico fraudulento, escribiera el c¨®digo del malware y que se pudiera copiar y pegar en un archivo de Excel para mandarlo como adjunto en el email, de manera que la trampa se ejecute en cuanto la v¨ªctima se descargue el archivo. As¨ª consiguieron establecer una cadena de infecci¨®n completa capaz de obtener acceso a otros ordenadores en remoto, todo a partir de preguntas formuladas a los chats conversacionales. Su objetivo era probar el potencial da?ino de ChatGPT. Y lo consiguieron.

¡°El experimento viene a demostrar que con muy pocos recursos se pueden desarrollar ataques relativamente complejos. Haciendo las preguntas y repreguntas adecuadas, sin mencionar palabras clave que choquen con su pol¨ªtica de contenidos, se puede conseguir¡±, explica Eusebio Nieva, director t¨¦cnico de Check Point para Espa?a y Portugal. ¡°Un atacante profesional, por ahora, no va a necesitar ChatGPT ni Codex para nada. Pero quien no tenga suficientes conocimientos o est¨¦ aprendiendo le puede venir bien¡±, subraya. En su opini¨®n, cualquier persona medianamente inteligente que no sepa programar podr¨ªa lanzar un ataque sencillo con esta herramienta.

?Quiere eso decir que la aplicaci¨®n de moda de OpenAI debe revisarse o censurarse? Resultar¨ªa complicado hacerlo. ¡°Si le pides a ChatGPT que te cree una funci¨®n que cifre el contenido de un disco duro, lo va a hacer. Otra cosa es que la uses para algo bueno, como proteger tus datos, o algo malo, como secuestrar el equipo de otra persona¡±, indica Marc Rivero, investigador de seguridad de Kaspersky. Seg¨²n qu¨¦ se le pida a la herramienta (por ejemplo, que escriba un email de phishing usando esa palabra), esta responde que no puede hacerlo porque es ilegal. Aunque a menudo se puede bordear esa barrera planteando la pregunta en otros t¨¦rminos, como hizo el equipo de Check Point. Dada la gran repercusi¨®n que est¨¢ teniendo la herramienta de OpenAI, los desarrolladores revisan continuamente sus t¨¦rminos y condiciones. En el momento de escribir este reportaje, todav¨ªa se pod¨ªa repetir el ejercicio realizado por Check Point.

ChatGPT es una variaci¨®n del modelo de lenguaje regresivo GPT-3, el m¨¢s avanzado del mundo. Usa aprendizaje profundo (deep learning), una t¨¦cnica de IA, para producir textos que simulan la forma de redactar humana. Analiza unos 175.000 millones de par¨¢metros para decidir qu¨¦ palabra casa mejor estad¨ªsticamente con las que le preceden, ya sea una pregunta o una afirmaci¨®n. De ah¨ª que sus textos parezcan producidos por una persona, aunque no sepa si lo que dice es bueno o malo, cierto o falso, real o irreal.

¡°El lanzamiento de ChatGPT re¨²ne dos de mis principales temores en ciberseguridad: IA y potencial de desinformaci¨®n¡±, escribi¨® en su blog Steve Grobman, vicepresidente y responsable de tecnolog¨ªa de McAfee, en cuanto el chatbot de OpenAI se abri¨® al p¨²blico. ¡°Estas herramientas de IA ser¨¢n usadas por una amplia gama de actores malvados, desde cibercriminales hasta quienes quieran intoxicar la opini¨®n p¨²blica, para que su trabajo logre resultados m¨¢s realistas¡±.

Todas las fuentes consultadas para la elaboraci¨®n de este reportaje coinciden en que ChatGPT no va a revolucionar el sector de la ciberseguridad. Las amenazas en las que trabajan las compa?¨ªas especializadas son extremadamente complejas comparado con lo que es capaz de generar el chatbot m¨¢s popular del momento. No es tan sencillo hackear los sistemas de una empresa o instituci¨®n. Pero eso no quiere decir que no vaya a ser de utilidad para los ciberdelincuentes.

¡°Estas herramientas pueden ser usadas para crear exploits [un fragmento de software] que se aprovechen de las vulnerabilidades conocidas hasta la fecha en que OpenIA recogi¨® los datos de su modelo¡±, aventura Josep Albors, director de Investigaci¨®n y Concienciaci¨®n de ESET Espa?a. En la pr¨¢ctica, facilita una parte de la cadena de infecci¨®n que usan los ciberdelincuentes y atacantes, ¡°poniendo la barrera de entrada para algunos ataques m¨¢s baja de lo que estaba y haciendo que, posiblemente, m¨¢s actores maliciosos entren en juego¡±.

Nieva augura la vuelta de los llamados script kiddies, los chavales sin muchos conocimientos de programaci¨®n que cog¨ªan scripts ya hechos y lanzaban ataques por diversi¨®n o para probarse a s¨ª mismos. La sofisticaci¨®n de la ciberseguridad se encarg¨® de apartarlos poco a poco del radar. ¡°Se les hab¨ªa dado por desaparecidos hace unos a?os, pero es posible que pronto les veamos haciendo ataques no muy complejos, pero efectivos¡±, dice el directivo de Check Point.

Los ciberdelincuentes expertos, por su parte, pueden recurrir a estos chatbots para realizar peque?as tareas del largo proceso que supone dise?ar un ciberataque complejo. Por ejemplo, la redacci¨®n de emails convincentes y otros procesos artesanales, como ofuscar sistemas de defensa de forma autom¨¢tica para lanzar m¨¢s tarde el ataque verdadero.

ChatGPT tambi¨¦n puede ser de utilidad para quienes est¨¢n del lado de los buenos. Hace d¨¦cadas que las empresas de ciberseguridad trabajan con herramientas de IA, pero la de OpenAI, que se apoya en una cantidad ingente de datos obtenidos de internet, ofrece una perspectiva nueva. ¡°Puede servir como una muy buena herramienta de entrenamiento para comprender las t¨¦cnicas de explotaci¨®n usadas por muchos delincuentes y dise?ar medidas defensivas para estas¡±, se?ala Albors.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.