Los nuevos riesgos que ChatGPT representa para la ciberseguridad
El informe de delitos en Internet de 2021 del FBI reveló que la suplantación de identidad es la amenaza de TI más común en los Estados Unidos. Desde la perspectiva del hacker, ChatGPT ha cambiado las reglas del juego, ya que permite a los piratas informáticos de todo el mundo hablar inglés casi con fluidez para reforzar sus campañas de suplantación de identidad. Los malos actores también pueden engañar a la IA para que genere código de hackeo. Y, por supuesto, existe la posibilidad de que el propio ChatGPT sea hackeado y difunda información errónea y propaganda política peligrosas. Este artículo examina estos nuevos riesgos, explora la formación y las herramientas necesarias para que los profesionales de la ciberseguridad respondan y pide que el gobierno supervise para garantizar que el uso de la IA no vaya en detrimento de las iniciativas de ciberseguridad.
••• Cuando OpenAI lanzó su revolucionario modelo lingüístico de IA ChatGPT en noviembre,[millones de usuarios](https://www.reuters.com/technology/chatgpt-sets-record-fastest-growing-user-base-analyst-note-2023-02-01/) quedaron perplejos por sus capacidades. Sin embargo, para muchos, la curiosidad cedió rápidamente el paso a una grave preocupación por el potencial de la herramienta para promover las agendas de los malos actores. En concreto, ChatGPT abre nuevas vías para que los piratas informáticos puedan infringir el software de ciberseguridad avanzado. Para un sector que ya se tambalea por un[Aumento global del 38%](https://www.darkreading.com/attacks-breaches/check-point-research-reports-a-38-increase-in-2022-global-cyberattacks) en las filtraciones de datos en 2022, es fundamental que los líderes reconozcan el creciente impacto de la IA y actúen en consecuencia. Antes de que podamos formular soluciones, debemos identificar las principales amenazas que se derivan del uso generalizado de ChatGPT. Este artículo examinará estos nuevos riesgos, explorará la formación y las herramientas necesarias para que los profesionales de la ciberseguridad respondan y solicitará la supervisión del gobierno para garantizar que el uso de la IA no vaya en detrimento de las iniciativas de ciberseguridad. ## **Estafas de suplantación de identidad generadas por la IA** Si bien las versiones más primitivas de la IA basada en idiomas son de código abierto (o están disponibles para el público en general) durante años, ChatGPT es, con mucho, la versión más avanzada hasta la fecha. En particular, la capacidad de ChatGPT de conversar sin problemas con los usuarios sin errores ortográficos, gramaticales ni verbales hace que parezca que podría haber una persona real al otro lado de la ventana de chat. Desde la perspectiva de un hacker, ChatGPT cambia las reglas del juego. El[Informe del FBI sobre delitos en Internet de 2021](https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf) descubrió que la suplantación de identidad es la amenaza de TI más común en los Estados Unidos. Sin embargo, la mayoría de las estafas de suplantación de identidad son fácilmente reconocibles, ya que suelen estar plagadas de errores ortográficos, mala gramática y, en general, una redacción incómoda, especialmente las que se originan en otros países donde el idioma materno del mal actor no es el inglés. ChatGPT permitirá a los piratas informáticos de todo el mundo hablar inglés casi con fluidez para reforzar sus campañas de suplantación de identidad. Para los líderes de ciberseguridad, el aumento de los sofisticados ataques de suplantación de identidad requiere atención inmediata y soluciones prácticas. Los líderes deben equipar a sus equipos de TI con herramientas que puedan determinar qué es lo que se genera por ChatGP y lo que se genera por humanos, orientadas específicamente a los correos electrónicos «fríos» entrantes. Afortunadamente, la tecnología «Detector ChatGPT»[ya existe](https://www.pcguide.com/apps/chat-gpt-detectors/), ** ** y es probable que avance junto con el propio ChatGPT. Lo ideal sería que la infraestructura de TI integrara un software de detección de IA, que filtrara y marcara automáticamente los correos electrónicos generados por la IA. Además, es importante que todos los empleados reciban formación y reciclaje de forma rutinaria sobre las últimas habilidades de prevención y concienciación sobre ciberseguridad, prestando especial atención a las estafas de suplantación de identidad respaldadas por la IA. Sin embargo, tanto el sector como el público en general tienen la responsabilidad de seguir abogando por herramientas de detección avanzadas, en lugar de limitarse a adular las crecientes capacidades de la IA. ## **Engañar a ChatGPT para que escriba código malicioso** ChatGPT domina la generación de códigos y otras herramientas de programación de ordenadores, pero la IA está programada para no generar código que considere malicioso o con fines de hackeo. Si se solicita hackear un código, ChatGPT informará al usuario de que su propósito es «ayudar en tareas útiles y éticas y, al mismo tiempo, cumplir con las directrices y políticas éticas». Sin embargo, la manipulación de ChatGPT es ciertamente posible y, con suficientes pinchazos e incitaciones creativas, los malos actores podrían engañar a la IA para que genere código de hackeo. De hecho, los hackers ya están conspirando con este fin. Por ejemplo, la empresa de seguridad israelí Check Point[descubrió hace poco un hilo](https://www.analyticsinsight.net/cybercriminals-are-using-chatgpt-to-create-hacking-tools-and-code/#:~:text=Security%20researchers%20have%20reported%20that,create%20hacking%20tools%20and%20code) en un conocido foro de hackeo clandestino de un hacker que decía estar probando el chatbot para recrear cepas de malware. Si ya se ha descubierto uno de esos hilos, se puede decir con seguridad que hay muchos más en todo el mundo y en la «oscura» web. Los profesionales de la ciberseguridad necesitan la formación adecuada (es decir, una mejora continua de sus habilidades) y los recursos para responder a las crecientes amenazas, generadas por la IA o de otro tipo. También existe la oportunidad de equipar a los profesionales de la ciberseguridad con su propia tecnología de IA para detectar y defenderse mejor del código de los hackers generado por la IA. Si bien el discurso público es el primero en lamentar el poder que ChatGPT proporciona a los malos actores, es importante recordar que este mismo poder está igualmente disponible para los buenos actores. Además de tratar de prevenir las amenazas relacionadas con ChatGPT, la formación en ciberseguridad también debería incluir instrucciones sobre cómo ChatGPT puede ser una herramienta importante en el arsenal de los profesionales de la ciberseguridad. A medida que esta rápida evolución de la tecnología crea una nueva era de amenazas a la ciberseguridad, debemos examinar estas posibilidades y crear una nueva formación para mantenernos al día. Además, los desarrolladores de software deberían intentar desarrollar una IA generativa que sea incluso más potente que ChatGPT y que se diseñe específicamente para centros de operaciones de seguridad (SOC) repletos de personas. ## **Regulación del uso y las capacidades de la IA** Si bien hay un debate importante sobre los malos actores que aprovechan la IA para ayudar a hackear software externo, lo que rara vez se habla es de la posibilidad de que el propio ChatGPT sea hackeado. A partir de ahí, los malos actores podrían difundir información errónea desde una fuente que normalmente se considera imparcial y se diseña para ser imparcial. ChatGPT tiene[según se informa](https://www.zdnet.com/article/6-things-chatgpt-cant-do-and-another-20-it-refuses-to-do/) tomó medidas para identificar y evitar responder a preguntas con carga política. Sin embargo, si se hackeara y manipulara la IA para proporcionar información que aparentemente sea objetiva, pero que en realidad sea información bien encubierta, sesgada o una perspectiva distorsionada, la IA podría convertirse en una peligrosa máquina de propaganda. La capacidad de un ChatGPT comprometido de difundir información errónea podría resultar preocupante y podría requerir una mayor supervisión gubernamental para las herramientas avanzadas de IA y empresas como OpenAI. La administración Biden ha publicado un»[Plan para una declaración de derechos sobre la IA](https://www.whitehouse.gov/ostp/ai-bill-of-rights/)», pero hay más en juego que nunca con el lanzamiento de ChatGPT. Para ampliar este tema, necesitamos supervisión para garantizar que OpenAI y otras empresas que lanzan productos de IA generativa revisen periódicamente sus funciones de seguridad para reducir el riesgo de que sean hackeadas. Además, los nuevos modelos de IA deberían requerir un umbral de medidas de seguridad mínimas antes de que la IA sea de código abierto. Por ejemplo, Bing [lanzaron su propia IA generativa](https://blogs.bing.com/search/march_2023/The-New-Bing-and-Edge-%E2%80%93-Momentum-from-Our-First-Month/) a principios de marzo, y[Meta's](https://www.theverge.com/2023/3/8/23629362/meta-ai-language-model-llama-leak-online-misuse) finalizando una poderosa herramienta propia, con más de otros gigantes de la tecnología. Mientras la gente se maravilla ante el potencial de ChatGPT y del emergente mercado de la IA generativa (y los profesionales de la ciberseguridad reflexionan sobre ello), los frenos y contrapesos son esenciales para garantizar que la tecnología no se vuelva difícil de manejar. Más allá de que los líderes de ciberseguridad vuelvan a capacitar y reequipar a sus trabajadores y que el gobierno asuma una función reguladora más importante, es necesario un cambio general en nuestra mentalidad y actitud hacia la IA. Debemos reimaginarnos el aspecto de la base fundamental de la IA, especialmente los ejemplos de código abierto como ChatGPT. Antes de que una herramienta esté disponible para el público, los desarrolladores tienen que preguntarse si sus capacidades son éticas. ¿Tiene la nueva herramienta un «núcleo programático» fundamental que realmente prohíba la manipulación? ¿Cómo establecemos los estándares que lo exigen y cómo hacemos que los desarrolladores rindan cuentas por no cumplir esos estándares? Las organizaciones tienen[instituyó estándares agnósticos](https://www.imsglobal.org/developers) para garantizar que los intercambios en diferentes tecnologías (desde tecnología educativa hasta cadenas de bloques e incluso carteras digitales) sean seguros y éticos. Es fundamental que apliquemos los mismos principios a la IA generativa. La charla de ChatGPT está en su punto más alto y, a medida que la tecnología avanza, es imperativo que los líderes tecnológicos comiencen a pensar en lo que esto significa para su equipo, su empresa y la sociedad en general. Si no, no solo se quedarán atrás de sus competidores en la adopción y el despliegue de la IA generativa para mejorar los resultados empresariales, sino que tampoco podrán anticipar ni defenderse de los piratas informáticos de la próxima generación que ya pueden[manipular](https://www.darkreading.com/attacks-breaches/researcher-tricks-chatgpt-undetectable-steganography-malware) esta tecnología para beneficio personal. Con la reputación y los ingresos en juego, el sector debe unirse para contar con las protecciones adecuadas y hacer que la revolución de ChatGPT sea algo que dé la bienvenida, no que tema.