ChatGPT: ¿Herramienta revolucionaria o arma para ciberdelincuentes?

ChatGPT y otros chatbots de IA avanzados pueden ser empleados para potenciar y facilitar los ataques cibernéticos, ya sea mediante phishing, deepfakes o incluso la propagación de información falsa.

ChatGPT y la inteligencia artificial han conquistado el mundo, pero a pesar del gran potencial de este chatbot para mejorar la vida cotidiana de los usuarios, hay quienes le dan un uso indebido para obtener datos personales y ganancias económicas.





Tan sorprendente como pueda ser, los criminales también han encontrado maneras simples de utilizar este chatbot para victimizar a personas y empresas, lo que ha puesto en alerta a organizaciones como Europol y a gobiernos.

Los estafadores emplean ChatGPT para llevar a cabo ataques de phishing y redactar correos electrónicos fraudulentos persuasivos, generando una creciente preocupación entre el público y los expertos en seguridad informática acerca de cómo detectar estas estafas antes de que la gente caiga en ellas.

Además, este chatbot también puede ser usado en la creación de contenido deepfake, lo que podría hacer que las estafas parezcan mucho más creíbles de lo que serían de otra manera, además de facilitar la producción de malware a un ritmo mucho más rápido. Pero hay mucho más que decir sobre este tema.

‘Phishing’ y código malintencionado

Una característica de ChatGPT que ha sido explotada por los criminales es su habilidad para programar. Puede adaptarse a diversos lenguajes de programación y generar fragmentos de código que se pueden emplear en aplicaciones. Esto implica que los programadores novatos pueden crear código con fines maliciosos sin siquiera aprender a programar.

Como comenta Fernando Arroyo, analista de datos y especialista en IA:

ChatGPT les proporcionará una ventaja en términos de tiempo, volviéndolos más eficientes al acelerar el proceso de realizar tareas complejas.

Por otra parte, los ciberdelincuentes emplean ChatGPT y otras herramientas para crear correos electrónicos fraudulentos masivos. Estos son gramaticalmente correctos, a diferencia de los correos de antaño, cuando delincuentes extranjeros se dirigían a ciudadanos estadounidenses, por ejemplo.

Sitios web y aplicaciones falsas

Según explica ESET en un informe reciente, Cyble Research and Intelligence Labs (CRIL) ha descubierto varios casos en los que se ha aprovechado el éxito de ChatGPT para distribuir malware y ejecutar otros ataques.

Identificaron una página no oficial de redes sociales de ChatGPT con muchos seguidores y ‘me gusta’, que muestra numerosas publicaciones sobre esta inteligencia artificial y otras herramientas de OpenAI.

No obstante, al examinar más de cerca, se reveló que algunas publicaciones en la página incluyen enlaces que dirigen a los usuarios a sitios de phishing que se hacen pasar por ChatGPT. Estos engañan a los usuarios para que descarguen archivos maliciosos en sus computadoras.

Como advierte Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica:

Cabe mencionar que, debido a la alta demanda de ChatGPT y que muchas personas no pueden acceder al servicio por el volumen, OpenAI ofrece ahora la opción de pagar para acceder a la versión Plus. Esto también es aprovechado por los atacantes para intentar robar los datos financieros de las tarjetas mediante formularios falsos.

Además, hay que destacar que, dado que OpenAI no ha creado una aplicación móvil con ChatGPT, esto está siendo utilizado por los ciberdelincuentes para distribuir falsas apps de Android que instalan spyware o adware en los smartphones. Ya se han identificado más de 50 aplicaciones malintencionadas.

‘Deepfakes’

Los ciberdelincuentes también manipulan y crean contenido de vídeo que podría utilizarse para suplantar a otras personas. Usan software para intercambiar rostros con objetivos/víctimas y hacer que digan y hagan cosas que no han hecho, con el fin de engañar o manipular al público.

Si estas tecnologías se combinan con un guion convincente generado por ChatGPT, solo es cuestión de tiempo que este contenido se considere auténtico. Esto podría incluir hacerse pasar por comerciantes para obtener información financiera de los clientes, aunque en algunos casos se ha ido más allá.

Como explica Fernando Arroyo:

Ya se ha observado cómo se han utilizado imágenes, principalmente de mujeres famosas, para contenido pornográfico simulando sus rostros. Por supuesto, este no es el único caso en el que se puede delinquir con la IA: falsificaciones de arte, ataques de ciberseguridad…

Desinformación y contenido engañoso

En enero de 2023, los analistas de NewsGuard , una empresa de periodismo y tecnología, solicitaron a ChatGPT que respondiera a una serie de indicaciones clave, utilizando su base de datos de información errónea en las noticias publicadas antes de 2022. Aseguran que los resultados confirman los temores sobre cómo la herramienta podría ser un peligro “armado en manos equivocadas”.

Como lo señala Josué Pérez Suay, especialista en Inteligencia Artificial:

La IA de lenguaje puede ser empleada para generar contenido falso o desinformación, lo que puede tener consecuencias negativas en la sociedad y la política.

NewsGuard también ha evaluado a GPT-4, concluyendo que este modelo presentó narrativas falsas no solo con más frecuencia, sino también de manera más persuasiva que ChatGPT-3.5.

Resalta la creación de respuestas en forma de artículos de noticias, hilos de Twitter y guiones de televisión que imitaban a los medios estatales rusos y chinos.

Con todo esto, está claro que ChatGPT o una herramienta similar que utilice la misma tecnología subyacente, como GPT-3.5 o GPT-4, podría emplearse para todo tipo de delitos a gran escala, eludiendo las políticas de OpenAI que prohíben el uso de sus servicios para generar “actividades fraudulentas o engañosas”, incluyendo ­“estafas”, “comportamiento coordinado no auténtico” y “desinformación”.

No te pierdas

Contenido Relacionado