Credenciales en la web oscura y más
Los riesgos de seguridad asociados con ChatGPT también incluyen escribir código malicioso y amplificar información falsa. Conozca más sobre una nueva herramienta llamada WormGPT que se anuncia en la web oscura.
Imagen: DIgilife/Adobe Stock
A medida que las tecnologías de inteligencia artificial como ChatGPT continúan mejorando, también aumenta la posibilidad de que los ciberdelincuentes las utilicen indebidamente. Según BlackBerry Global Research, el 74 por ciento de los tomadores de decisiones de TI encuestados reconocen ChatGPT como una amenaza potencial para la seguridad de la red. El 51% de los encuestados cree que habrá un ciberataque exitoso por parte de ChatGPT en 2023.
A continuación se muestra una descripción general de algunos de los problemas y riesgos de ciberseguridad más importantes relacionados con ChatGPT.
Salta a:
Credenciales ChatGPT y consejos para jailbreak en la Dark Web
Credenciales robadas de ChatGPT en la Dark Web
La empresa de ciberseguridad Group-IB publicó una investigación sobre transacciones de credenciales robadas de ChatGPT en la web oscura en junio de 2023. Según la empresa, más de 100.000 cuentas ChatGPT se vieron comprometidas entre junio de 2023 y marzo de 2023. Más de 40.000 de estas credenciales procedían de la región de Asia Pacífico, seguida de Oriente Medio y África (24.925), Europa (16.951), América Latina (12.314) y América del Norte (4.737).
Más cobertura de IA de lectura obligada
Hay dos razones principales por las que los ciberdelincuentes quieren obtener acceso a cuentas ChatGPT. Al parecer, pueden utilizar una cuenta de pago, que no tiene limitaciones respecto a la versión gratuita. Sin embargo, la principal amenaza es el espionaje de cuentas: ChatGPT mantiene un historial detallado de todas las solicitudes y respuestas, lo que podría filtrar datos confidenciales a los estafadores.
Dmitry Shestakov, Director de Inteligencia de Amenazas de Group-IB, escribe: «Muchas empresas están integrando ChatGPT en sus procesos operativos. Los empleados escriben cartas confidenciales o usan bots para optimizar el código propietario. Dado que la configuración estándar de ChatGPT preserva todas las conversaciones, si un atacante amenaza para obtener credenciales de cuentas, lo que sin darse cuenta podría proporcionarles una gran cantidad de información confidencial».
Consejos para hacer jailbreak en la Dark Web
La empresa de seguridad del correo electrónico en la nube, SlashNext, informa que existe un comercio creciente de consejos sobre jailbreak en foros clandestinos de ciberdelincuentes. Estas sugerencias están diseñadas específicamente para sortear las barreras de seguridad de ChatGPT y permitir a los atacantes aprovechar la IA para crear contenido malicioso.
Armando ChatGPT
La principal preocupación sobre la explotación de ChatGPT es que los ciberdelincuentes puedan utilizarlo como arma. Al aprovechar las capacidades de este chatbot de IA, los ciberdelincuentes pueden lanzar fácilmente sofisticados ataques de phishing, spam y otros contenidos fraudulentos. ChatGPT puede hacerse pasar por personas o entidades/organizaciones confiables de manera convincente, lo que aumenta la probabilidad de engañar a usuarios desprevenidos para que revelen información confidencial o sean víctimas de estafas (Figura A).
Figura A
Uno de los resultados es un mensaje para crear un correo electrónico de phishing.Imagen: Escrito en ChatGPT
Como puede verse en este ejemplo, ChatGPT puede mejorar la eficacia de los ataques de ingeniería social al proporcionar interacciones más auténticas y personalizadas con víctimas potenciales. Ya sea a través de correo electrónico, mensajería instantánea o plataformas de redes sociales, los ciberdelincuentes pueden utilizar ChatGPT para recopilar información, generar confianza y, en última instancia, engañar a las personas para que revelen datos confidenciales o realicen acciones dañinas.
ChatGPT puede amplificar la desinformación o las noticias falsas
La difusión de desinformación y noticias falsas es un problema creciente en Internet. Con la ayuda de ChatGPT, los ciberdelincuentes pueden generar y distribuir rápidamente grandes volúmenes de contenido engañoso o dañino que pueden utilizarse para influir en las operaciones. Esto puede conducir a un aumento del malestar social, la inestabilidad política y la desconfianza pública en las fuentes confiables de información.
ChatGPT puede escribir código malicioso
ChatGPT tiene varios protocolos para evitar la generación de sugerencias relacionadas con la escritura de malware o la participación en actividades dañinas, ilegales o inmorales. Sin embargo, incluso un atacante con conocimientos de programación de bajo nivel puede eludir el protocolo y obligarlo a escribir código malicioso. Varios investigadores de seguridad han escrito sobre este tema.
La empresa de ciberseguridad HYAS publicó una investigación sobre cómo escribieron una prueba de concepto de malware llamado Black Mamba con la ayuda de ChatGPT. El malware es un malware polimórfico con capacidades de registro de teclas.
Mark Stockley escribió en el sitio web de MalwareBytes Labs que hizo que ChatGPT escribiera el ransomware, pero concluyó que la IA era terrible en eso. Una razón es que ChatGPT tiene un límite de palabras de alrededor de 3000. «ChatGPT es esencialmente una combinación y reescritura de contenido que se encuentra en Internet», dijo Stockley, por lo que los fragmentos de código que ofrece no son nada nuevo.
Aaron Mulgrew, investigador de la firma de seguridad de datos Forcepoint, revela cómo sortear todas las barreras de seguridad de ChatGPT haciendo que ChatGPT escriba un fragmento de código. Este enfoque crea un malware avanzado que no es detectado por 69 motores antivirus de VirusTotal, una plataforma que proporciona detección de malware en varios motores antivirus.
Conoce WormGPT, una inteligencia artificial desarrollada para ciberdelincuentes
Daniel Kelley de SlashNext ha expuesto una nueva herramienta de inteligencia artificial llamada WormGPT que se anuncia en la web oscura. La herramienta se anuncia como «la mejor alternativa de GPT para los sombreros negros» y proporciona respuestas rápidas sin restricciones éticas, a diferencia de ChatGPT, que dificulta la generación de contenido malicioso. Figura B Mostrar consejos de SlashNext.
Figura B
WormGPT proporciona contenido ilegal sin restricciones. Imagen: Barra diagonalSiguiente
Los desarrolladores de WormGPT no proporcionaron información sobre cómo se creó la IA y qué datos se introdujeron en ella durante el entrenamiento.
WormGPT ofrece algunas suscripciones: una suscripción mensual cuesta 100 EUR, incluidos 60 EUR por los primeros 10 consejos. La cuota de suscripción anual es de 550 EUR. Una configuración privada con una API privada está disponible por 5000 EUR.
¿Cómo se pueden mitigar las ciberamenazas que plantea la inteligencia artificial?
No existen mitigaciones específicas para las amenazas cibernéticas que plantea la IA. Se aplican los consejos de seguridad habituales, especialmente cuando se trata de ingeniería social. Los empleados deben estar capacitados para detectar correos electrónicos de phishing o cualquier intento de ingeniería social, ya sea a través de correo electrónico, mensajería instantánea o redes sociales. Además, tenga en cuenta que enviar datos confidenciales a ChatGPT no es una buena práctica de seguridad, ya que pueden filtrarse.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
