Los ciberdelincuentes desconfían de la IA generativa

David Ramos,
Linkedin
3 peligros y ventajas de la IA generativa en ciberseguridad

El pasado jueves se cumplió el primer aniversario del lanzamiento de ChatGPT, la plataforma de inteligencia artificial (IA) generativa que lo ha revolucionado todo.

No cabe la menor duda de que ésta ha sido la tecnología más destacada del año que pronto concluirá, acaparando un protagonismo absoluto.

La IA lleva muchos años conviviendo con nosotros en muchos dispositivos y servicios de uso cotidiano —smartphones, altavoces inteligentes, electrodomésticos, plataformas de streaming de música y vídeo, marketplaces…—, pero siempre habíamos interactuado con ella de manera pasiva, con esta tecnología en la trastienda y casi sin que percibiéramos que estaba ahí.

Sin embargo, la IA generativa ha democratizado el uso de esta tecnología y nos ha puesto a los mandos, permitiendo que cualquiera la use como considere oportuno y que le pida exactamente lo que necesite.

Por ejemplo, la IA está detrás de las recomendaciones de Netflix, Spotify o Amazon, de las que nos beneficiamos, pero que no hemos pedido expresamente. En cambio, si solicitamos a ChatGPT o Bard que nos resuelva un problema o escriba un ensayo sobre un tema, somos nosotros los que decimos a la IA exactamente qué tiene que hacer.

Los programadores son uno de los colectivos que más se están beneficiando del uso de la IA generativa. Y esta tecnología también puede ser muy útil para los ciberdelincuentes. Para demostrarlo, Sophos ha puesto a prueba las capacidades de la IA generativa para crear una web con fines fraudulentos.

Utilizando una plantilla de comercio electrónico y herramientas de grandes modelos de lenguaje (LLM, por sus siglas en inglés) como GPT-4, los investigadores de Sophos X-Ops han diseñado una web totalmente funcional con imágenes, audio y descripciones de productos generados por IA, así como un inicio de sesión falso en Facebook y una página de pago fraudulenta para robar las credenciales de inicio de sesión y los datos de la tarjeta de crédito de los usuarios.

Según explica la compañía, la creación de esta web exigió unos conocimientos técnicos mínimos para su diseño y puesta en marcha. Además, utilizando la misma herramienta, sus expertos fueron Ops capaces de crear cientos de portales web similares en apenas unos minutos y sólo con presionar un botón.

“Es natural y esperable que los delincuentes recurran a las nuevas tecnologías para automatizarse. La creación original de emails de spam fue un paso crítico en la tecnología de estafa porque cambió la escala del campo de juego. Las nuevas IA están preparadas para hacer lo mismo. Si existe una tecnología de IA que pueda crear amenazas completas y automatizadas, se acabarán utilizando. Ya hemos visto la integración de elementos de IA generativa en estafas clásicas, como textos o fotografías generados por IA para atraer a las víctimas”, afirma Ben Gelman, científico de datos sénior de Sophos.

La empresa de ciberseguridad también ha investigado en la dark web para ver qué dicen los ciberdelincuentes respecto al uso de IA. Sophos ha descubierto que están discutiendo su potencial para las estafas que recurren a ingeniería social.

Por ejemplo, su equipo de X-Ops ha encontrado casos de estafas de criptomonedas a través de apps de citas en los que se ha usado IA.

Además, la compañía ha podido ver que la mayoría de los posts en foros sobre IA hablan acerca de la venta de cuentas falsas de ChatGPT y jailbreaks —métodos para eludir la protección interna de los LLM—, para que los cibercriminales puedan usar estas herramientas con fines maliciosos.

Sus investigadores también han encontrado diez plataformas que copian a ChatGPT y cuyos creadores aseguran que pueden utilizarse para lanzar ciberataques y desarrollar programas maliciosos.

Sin embargo, Sophos apunta que los cibercriminales presentan posturas encontradas ante esta creación y otras aplicaciones maliciosas de los LLM. Así pues, muchos ciberdelincuentes desconfían de los creadores de las imitaciones de ChatGPT, ya que sospechan que tal vez estén tratando de estafarlos.

“Aunque desde el lanzamiento de ChatGPT ha habido una gran preocupación por el abuso de la IA y los LLM por parte de los ciberdelincuentes, nuestra investigación ha descubierto que, hasta ahora, los cibercriminales son más escépticos que entusiastas. En dos de los cuatro foros de la dark web que examinamos, sólo encontramos 100 mensajes sobre IA. En comparación con la criptomoneda, donde encontramos 1.000 mensajes en el mismo periodo”, declara Christopher Budd, director de investigación de X-Ops de Sophos.

“Hemos observado que algunos atacantes intentaban crear malware o herramientas de ataque utilizando LLM, pero los resultados eran rudimentarios y a menudo se encontraban con el escepticismo de otros usuarios. En un caso, un cibercriminal, ansioso por mostrar el potencial de ChatGPT, reveló inconscientemente, información sobre su identidad real. Además, encontramos muchas ‘tribunas de opinión’ sobre los posibles efectos negativos de la IA en la sociedad y las implicaciones éticas de su uso. En otras palabras, al menos por ahora, parece que los ciberdelincuentes mantienen los mismos debates sobre la IA que el resto del mundo”, añade.