La empresa de investigación en inteligencia artificial OpenAI presentó recientemente la última versión de ChatGPT, GPT-4, una versión más rápida, precisa y humana. ChatGPT es un chatbot que ha asombrado al mundo por su habilidad para conversar y responder preguntas de manera similar a un humano. Su expresión natural y respuestas acertadas han generado gran popularidad, y con ello, nuevas aplicaciones como redacción de currículos o artículos. Pero también ha llamado la atención de los ciberdelincuentes.
IA en correos electrónicos de phishing
Como suele suceder con avances tecnológicos, los atacantes buscan aprovecharlos. Una preocupación con ChatGPT es su uso en ataques de phishing.
“Actualmente, con sus capacidades, esa preocupación es exagerada”, explica Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad en Proofpoint. “Muchos correos de phishing no buscan la perfección, sino que se escriben de forma deliberadamente incorrecta para que sean más propensos a abrirse. Además, esto es solo una parte del ataque y no garantiza el éxito.”
Un chatbot como ChatGPT solo podría ayudar a crear textos convincentes, pero los sistemas antiphishing analizan mensajes, archivos adjuntos y enlaces. Incluso si la víctima abre el correo, el ciberdelincuente necesita más información, por lo que ChatGPT no marca una gran diferencia.
Malware generado por un chatbot
“El malware creado por ChatGPT no elude sistemas EDR (Endpoint Detection Response) ni infecta equipos de manera más eficiente que otras herramientas existentes. Un hacker necesita algo efectivo y repetible; esta tecnología no puede cambiar constantemente su infraestructura, dominios y elementos para evitar ser detectada”, señala Kalember.
Un operador de malware debe distribuirlo y vender acceso al mismo. Un chatbot no puede automatizar eso, ya que no fue diseñado para tal propósito. Para impactar realmente, ChatGPT debería superar a herramientas especializadas desarrolladas durante años. Aunque progresa rápidamente, no es útil para cifrar o distribuir malware exitosamente.
“Si bien es cierto que ChatGPT es gratuito y accesible, lo que atrae a ciberdelincuentes, su relevancia es cuestionable. En el futuro, podrían usarlo para mejorar gramática o en ataques de ingeniería social con conversaciones prolongadas con la víctima, pero esto no les daría ventajas frente a sistemas de detección de ciberataques. ChatGPT no reemplaza ni mejora significativamente las herramientas existentes ni cambia la naturaleza de los ataques”, concluye el experto.