09/03/2023 | Adlan Chaykin
ChatGPT reduce la barrera de entrada al ciberdelito y mejora las capacidades de phishing, pero es poco probable que facilite ataques de malware sofisticados.
A finales de enero, OpenAI lanzó una actualización para su herramienta de lenguaje natural ChatGPT, una variante del modelo de lenguaje GPT (Generative Pre-training Transformer). ChatGPT está diseñado para poder mantener conversaciones similares a las humanas sobre una variedad de temas, lo que permite a los usuarios hacer preguntas simples o sugerir tareas como escribir artículos, correos electrónicos, ensayos, poemas o código. ChatGPT es una de varias herramientas de lenguaje natural y otras herramientas de inteligencia artificial (IA) disponibles públicamente que se están desarrollando. Muchas de estas herramientas pueden automáticamente derivar código e información, facilitando ataques a la red informática.
Desde el lanzamiento de ChatGPT en noviembre, los ciberdelincuentes en los foros de piratería de la dark web han demostrado un gran interés en cómo pueden usarlo para crear exploits y malware, incluso mediante la reutilización de técnicas descritas por investigadores en documentos técnicos de seguridad cibernética. Esto significa que los actores de amenazas con conocimientos técnicos limitados y sin habilidades de codificación podrán desarrollar cada vez más herramientas maliciosas utilizando ejemplos y orientación en tiempo real.
Caso de prueba
ChatGPT tiene acceso a un modelo OpenAI separado que está capacitado para generar código en una variedad de lenguajes de programación; esta capacidad de traducir el lenguaje natural al código tiene como objetivo ayudar a los desarrolladores de software. OpenAI continúa implementando controles para evitar que ChatGPT produzca código malicioso, y esto probablemente seguirá siendo una prioridad clave a medida que mejoren sus capacidades de codificación.
Sin embargo, sigue siendo posible hacerle preguntas que parecen tener fines de investigación. En la Figura 2 y la Figura 3, probamos la capacidad de ChatGPT para crear un correo electrónico de phishing dirigido a una compañía de petróleo y gas y generar código que puede atacar vulnerabilidades en dispositivos que ejecutan sistemas heredados.
Aunque los delincuentes en los foros de la dark web han demostrado cómo usaron ChatGPT para recrear cepas de malware para un ladrón de información, no hemos observado ningún ataque cibernético llevado a cabo con la ayuda de ChatGPT. Esto se debe en parte a que atribuirle un código es difícil, similar al desafío que enfrentan las instituciones educativas con el plagio y las trampas en las evaluaciones.
Trayectoria de la amenaza
Si bien el desarrollo de ChatGPT y sus rivales es significativo en varios frentes, es poco probable que conduzca a un aumento a gran escala de las amenazas cibernéticas para las empresas a nivel mundial. Es probable que ChatGPT ayude a los atacantes a crear correos electrónicos de phishing convincentes (por ejemplo, al mejorar las habilidades de escritura de los atacantes cuyo primer idioma no es el inglés). Sin embargo, la elaboración de exploits sofisticados o el desarrollo de malware seguirán requiriendo conocimientos especializados sobre cómo aplicar esas herramientas en un ataque. Además, no permite que un actor de amenazas comprenda las vulnerabilidades específicas y las medidas de seguridad aplicadas por una empresa o red objetivo.
La capacidad limitada de ChatGPT para producir código malicioso sofisticado se ve reforzada por la cantidad de errores que produce actualmente en los entornos de prueba de desarrollo de software. Stack Overflow, un sitio web de preguntas y respuestas para desarrolladores, ha prohibido a los usuarios compartir las respuestas generadas por ChatGPT debido a las preocupaciones sobre las respuestas que parecen convincentes pero que, en última instancia, son incorrectas.
Sin embargo, a medida que los costos de los modelos de lenguaje extenso (LLM) disminuyen y su uso prolifera a largo plazo, a los actores de amenazas altamente capacitados les resultará cada vez más rentable concentrarse en los datos de entrenamiento que pueden generar malware y exploits personalizados. Algunos ciberdelincuentes y actores estatales también podrían explorar cada vez más la tecnología LLM para, por ejemplo, usar su acceso a los correos electrónicos de un director ejecutivo para adaptar un LLM a su estilo de escritura y realizar business email compromiso (BEC) de manera más efectiva.
Por el momento, es probable que a los atacantes altamente capaces les resulte más fácil escribir su propio código malicioso, y gran parte del interés en ChatGPT en los foros clandestinos de ciberdelincuentes se origina en actores de amenazas menos capaces. Como tal, es probable que herramientas como ChatGPT aumenten la cantidad de actores de amenazas moderadamente capaces, pero es poco probable que, de forma aislada, afecte significativamente a los actores estatales y a los grupos de ransomware avanzados que ya poseen altas capacidades.
Planear con antelación
La aparición de LLMs, ChatGPT y soluciones de inteligencia artificial rivales no es actualmente una puerta de entrada a herramientas y técnicas de ataque más sofisticadas para los actores de amenazas a nivel mundial. Sin embargo, debería actuar como una advertencia para los directores de seguridad de la información (CISO) y los equipos de seguridad de que estas herramientas están atrayendo el interés de los actores de amenazas y comenzarán a usarse en ataques.
Es clave que los equipos de seguridad monitoreen los desarrollos en torno a ChatGPT y el uso de LLMs e IA de manera más amplia. Esto les ayudará a comprender si el panorama de amenazas está cambiando, si las herramientas están generando capacidades útiles para la penetración de la red y si estas herramientas están habilitando los incidentes de amenazas. Además, monitorear el panorama de proveedores terceros en busca de desarrollos diseñados para contrarrestar el uso malicioso de herramientas de IA también debería ser un enfoque creciente desde una perspectiva de seguridad.