Incidentes Asociados
Desde que OpenAI lanzó ChatGPT a fines de noviembre, los comentaristas de todos los lados se han preocupado por el impacto que tendrá la creación de contenido impulsada por IA, particularmente en el ámbito de la ciberseguridad. De hecho, a muchos investigadores les preocupa que las soluciones de IA generativa democraticen el ciberdelito.
Con ChatGPT, cualquier usuario puede ingresar una consulta y generar código malicioso y correos electrónicos de [phishing](https://venturebeat.com/ai/how-ai-machine-learning- Changing-phishing-game/) convincentes sin ninguna experiencia técnica o conocimientos de codificación.
Si bien los equipos de seguridad también pueden aprovechar ChatGPT con fines defensivos, como probar código al reducir el barrera de entrada para los ataques cibernéticos, la solución ha complicado significativamente el panorama de amenazas.
La democratización del cibercrimen
Desde una perspectiva de seguridad cibernética, el desafío central creado por la creación de OpenAI es que cualquier persona, independientemente de su experiencia técnica, puede crear código para generar [malware] (https://venturebeat.com/security/malware-and-best-practices-for-malware -removal/) y ransomware a pedido.
"Así como [ChatGPT] puede usarse para ayudar a los desarrolladores a escribir código para siempre, puede (y ya lo ha hecho) usarse con fines maliciosos", dijo el director, especialista en seguridad de puntos finales de [Tanium] (https: //www.tanium.com/), Matt Psencik.
“Un par de ejemplos que ya he visto son pedirle al bot que cree correos electrónicos de phishing convincentes o ayude en el código de ingeniería inversa para encontrar [explosiones de día cero] (https://venturebeat.com/security/how-zero-trust-methods -thwart-malicious-hackers/) que podrían usarse maliciosamente en lugar de informarlos a un proveedor”, dijo Psencik.
Aunque, Psencik señala que ChatGPT tiene barandillas incorporadas diseñadas para evitar que la solución se use para actividades delictivas.
Por ejemplo, se negará a crear código de shell o proporcionará instrucciones específicas sobre cómo crear código de shell o establecer un shell inverso y marcar palabras clave maliciosas como phishing para bloquear las solicitudes.
El problema con estas protecciones es que dependen de que la IA reconozca que el usuario está intentando escribir un código malicioso (que los usuarios pueden ofuscar reformulando las consultas), mientras que no hay consecuencias inmediatas por violar la política de contenido de OpenAI.
Cómo usar ChatGPT para crear ransomware y correos electrónicos de phishing
Si bien ChatGPT no ha estado disponible por mucho tiempo, los investigadores de seguridad ya comenzaron a probar su capacidad para generar código malicioso. Por ejemplo, el investigador de seguridad y cofundador de Picus Security, el Dr. Suleyman Ozarslan, utilizó recientemente ChatGPT no solo para crear una campaña de phishing, sino también para crear [ransomware](https: //venturebeat.com/security/report-90-of-companies-affected-by-ransomware-in-2022/) para MacOS.
“Comenzamos con un ejercicio simple para ver si ChatGPT crearía una campaña de phishing creíble y lo hizo. Ingresé un aviso para escribir un correo electrónico con el tema de la Copa Mundial para usar en una simulación de phishing y se creó uno en segundos, en un inglés perfecto”, dijo Ozarslan.
En este ejemplo, Ozarslan "convenció" a la IA para generar un correo electrónico de phishing diciendo que era un investigador de seguridad de una empresa de simulación de ataques que buscaba desarrollar una herramienta de simulación de ataques de phishing.
Si bien ChatGPT reconoció que "los ataques de phishing pueden usarse con fines maliciosos y pueden causar daños a personas y organizaciones", de todos modos generó el correo electrónico.
Después de completar este ejercicio, Ozarslan le pidió a ChatGPT que escribiera código para Swift, que podría encontrar archivos de Microsoft Office en una MacBook y enviarlos a través de HTTPS a un servidor web, antes de cifrar los archivos de Office en la MacBook. La solución respondió generando un código de muestra sin advertencia ni aviso.
El ejercicio de investigación de Ozarslan ilustra que los ciberdelincuentes pueden eludir fácilmente las protecciones de OpenAI, ya sea posicionándose como investigadores u ofuscando sus intenciones maliciosas.
El repunte de la ciberdelincuencia desequilibra la balanza
Si bien ChatGPT ofrece beneficios positivos para los equipos de seguridad, al reducir la barrera de entrada para los ciberdelincuentes, tiene más potencial para acelerar la complejidad en el panorama de amenazas que para reducirlo.
Por ejemplo, los ciberdelincuentes pueden usar la IA para aumentar el volumen de amenazas de phishing en la naturaleza, que no solo ya abruman a los equipos de seguridad, sino que solo necesitan tener éxito una vez para causar una [violación de datos] (https://venturebeat.com/ security/cost-of-a-data-breach/) que cuesta millones en daños.
“Cuando se trata de ciberseguridad, ChatGPT tiene mucho más para ofrecer a los atacantes que sus objetivos”, dijo Lomy Ovadia, vicepresidente ejecutivo de Investigación y Desarrollo del proveedor de seguridad de correo electrónico, IRONSCALES.
“Esto es especialmente cierto para los ataques Business Email Compromise (BEC) que se basan en el uso de contenido engañoso para hacerse pasar por colegas, un VIP de la empresa, un proveedor, o incluso un cliente”, dijo Ovadia.
Ovadia argumenta que los CISO y los líderes de seguridad serán superados si confían en herramientas de seguridad basadas en políticas para detectar ataques de phishing con AI/GPT-3 contenido generado, ya que estos modelos de IA utilizan avanzados procesamiento de lenguaje natural (NLP) para generar correos electrónicos fraudulentos que son casi imposibles de distinguir de ejemplos genuinos.
Por ejemplo, a principios de este año, un investigador de seguridad de la [Agencia de Tecnología del Gobierno de Singapur] (https://www.wired.com/story/ai-phishing-emails/), creó 200 correos electrónicos de phishing y comparó la tasa de clics con los creados por modelo de aprendizaje profundo GPT-3, y descubrió que más usuarios hacían clic en los correos electrónicos de phishing generados por IA que en los producidos por usuarios humanos.
Entonces, ¿cuál es la buena noticia?
Si bien la IA generativa presenta nuevas amenazas para los equipos de seguridad, también ofrece algunos casos de uso positivos. Por ejemplo, los analistas pueden usar la herramienta para revisar el código de fuente abierta en busca de vulnerabilidades antes de la implementación.
“Hoy estamos viendo [hackers éticos] (https://venturebeat.com/security/ethical-hackers-discovered-65000-software-vulnerabilities-this-year/) usar IA existente para ayudar a escribir informes de vulnerabilidad, generando ejemplos de código e identificar tendencias en grandes conjuntos de datos. Todo esto es para decir que la mejor aplicación para la IA de hoy es ayudar a los humanos a hacer más cosas humanas”, dijo el arquitecto de soluciones de HackerOne, Dane Sherrets.
Sin embargo, los equipos de seguridad que intentan aprovechar las soluciones de IA generativa como ChatGPT aún deben garantizar una supervisión humana adecuada para evitar posibles contratiempos.
“Los avances que representa ChatGPT son emocionantes, pero la tecnología aún no se ha desarrollado para funcionar de manera completamente autónoma. Para que la IA funcione, requiere supervisión humana, alguna configuración manual y no siempre se puede confiar en que se ejecute y entrene con los últimos datos e inteligencia absolutos”, dijo Sherrets.