Desde que OpenAI lanzó ChatGPT a fines de noviembre los comentaristas de todos lados se han preocupado por el impacto que tendrá la creación de contenido impulsada por IA particularmente en el ámbito de la ciberseguridad. De hecho a muchos investigadores les preocupa que las soluciones de IA generativa democraticen el ciberdelito.
Con ChatGPT cualquier usuario puede ingresar una consulta y generar código malicioso y correos electrónicos de phishing convincentes sin ninguna experiencia técnica o conocimiento de codificación.
Si bien los equipos de seguridad también pueden aprovechar ChatGPT con fines defensivos, como probar el código, al reducir la barrera de entrada para los ataques cibernéticos la solución ha complicado significativamente el panorama de amenazas.
La democratización del cibercrimen
Desde una perspectiva de seguridad cibernética, el desafío central creado por la creación de OpenAI es que cualquier persona, independientemente de su experiencia técnica puede crear código para generar malware y ransomware a pedido.
“Así como [ChatGPT] se puede usar para ayudar a los desarrolladores a escribir código para siempre se puede usar (y ya se ha usado) con fines maliciosos”, dijo Matt Psencik, director y especialista en seguridad de puntos finales de Tanium.
“Un par de ejemplos que ya he visto le piden al bot que cree correos electrónicos de phishing convincentes o ayude en la ingeniería inversa del código para encontrar exploits de día cero que podrían usarse de manera maliciosa en lugar de informarlos a un proveedor” dijo Psencik.
Aunque, Psencik señala que ChatGPT tiene barandillas incorporadas diseñadas para evitar que la solución se use para actividades delictivas.
Por ejemplo, se negará a crear código de shell o proporcionará instrucciones específicas sobre cómo crear código de shell o establecer un shell inverso y marcar palabras clave maliciosas como phishing para bloquear las solicitudes.
El problema con estas protecciones es que dependen de que la IA reconozca que el usuario está intentando escribir un código malicioso (que los usuarios pueden ofuscar reformulando las consultas), mientras que no hay consecuencias inmediatas por violar la política de contenido de OpenAI.
Cómo usar ChatGPT para crear ransomware y correos electrónicos de phishing
Si bien ChatGPT no ha estado disponible por mucho tiempo los investigadores de seguridad ya comenzaron a probar su capacidad para generar código malicioso. Por ejemplo el investigador de seguridad y cofundador de Picus Security el Dr. Suleyman Ozarslan utilizó recientemente ChatGPT no solo para crear una campaña de phishing sino también para crear ransomware para MacOS.
“Comenzamos con un ejercicio simple para ver si ChatGPT crearía una campaña de phishing creíble y lo hizo. Ingresé un aviso para escribir un correo electrónico con el tema de la Copa Mundial para usar en una simulación de phishing y se creó uno en segundos en un inglés perfecto” dijo Ozarslan.
En este ejemplo, Ozarslan “convenció” a la IA para generar un correo electrónico de phishing diciendo que era un investigador de seguridad de una empresa de simulación de ataques que buscaba desarrollar una herramienta de simulación de ataques de phishing.
Si bien ChatGPT reconoció que “los ataques de phishing pueden usarse con fines maliciosos y pueden causar daños a personas y organizaciones” de todos modos generó el correo electrónico.
Después de completar este ejercicio, Ozarslan le pidió a ChatGPT que escribiera código para Swift, que podría encontrar archivos de Microsoft Office en una MacBook y enviarlos a través de HTTPS a un servidor web, antes de cifrar los archivos de Office en la MacBook. La solución respondió generando un código de muestra sin advertencia ni aviso.
El ejercicio de investigación de Ozarslan ilustra que los ciberdelincuentes pueden eludir fácilmente las protecciones de OpenAI, ya sea posicionándose como investigadores u ofuscando sus intenciones maliciosas.
El repunte de la ciberdelincuencia desequilibra la balanza
Si bien ChatGPT ofrece beneficios positivos para los equipos de seguridad al reducir la barrera de entrada para los ciberdelincuentes tiene más potencial para acelerar la complejidad en el panorama de amenazas que para reducirlo.
Por ejemplo los ciberdelincuentes pueden usar la IA para aumentar el volumen de amenazas de phishing en la naturaleza que no solo ya abruman a los equipos de seguridad sino que solo necesitan tener éxito una vez para causar una violación de datos que cuesta millones en daños.
“Cuando se trata de ciberseguridad, ChatGPT tiene mucho más que ofrecer a los atacantes que sus objetivos”, dijo Lomy Ovadia, vicepresidente ejecutivo de Investigación y Desarrollo del proveedor de seguridad de correo electrónico IRONSCALES .
“Esto es especialmente cierto para los ataques Business Email Compromise ( BEC ) que se basan en el uso de contenido engañoso para hacerse pasar por colegas, un VIP de la empresa, un proveedor o incluso un cliente”, dijo Ovadia.
Ovadia argumenta que los CISO y los líderes de seguridad se verán superados si confían en herramientas de seguridad basadas en políticas para detectar ataques de phishing con contenido generado por IA/GPT-3 ya que estos modelos de IA utilizan procesamiento de lenguaje natural avanzado ( NLP ) para generar correos electrónicos fraudulentos que son casi imposible de distinguir de los ejemplos genuinos.
Por ejemplo a principios de este año, un investigador de seguridad de la Agencia de Tecnología del Gobierno de Singapur creó 200 correos electrónicos de phishing y comparó la tasa de clics con los creados por el modelo de aprendizaje profundo GPT-3 y descubrió que más usuarios hicieron clic en los correos electrónicos de phishing generados por IA que en los producidos por usuarios humanos.
Entonces, ¿cuál es la buena noticia?
Si bien la IA generativa presenta nuevas amenazas para los equipos de seguridad, también ofrece algunos casos de uso positivos. Por ejemplo, los analistas pueden usar la herramienta para revisar el código de fuente abierta en busca de vulnerabilidades antes de la implementación.
“Hoy vemos que los hackers éticos utilizan la IA existente para ayudar a escribir informes de vulnerabilidad, generar muestras de código e identificar tendencias en grandes conjuntos de datos. Todo esto es para decir que la mejor aplicación para la IA de hoy es ayudar a los humanos a hacer más cosas humanas”, dijo el arquitecto de soluciones de HackerOne , Dane Sherrets.
Sin embargo, los equipos de seguridad que intentan aprovechar las soluciones de IA generativa como ChatGPT aún deben garantizar una supervisión humana adecuada para evitar posibles contratiempos.
“Los avances que representa ChatGPT son emocionantes pero la tecnología aún no se ha desarrollado para funcionar de manera completamente autónoma. Para que la IA funcione requiere supervisión humana, alguna configuración manual y no siempre se puede confiar en que se ejecute y entrene con los últimos datos e inteligencia absolutos”, dijo Sherrets.
Es por esta razón que Forrester recomienda que las organizaciones que implementan IA generativa implementen flujos de trabajo y gobernanza para administrar el contenido y el software generados por IA para garantizar que sea preciso y reducir la probabilidad de lanzar soluciones con vulnerabilidades de seguridad o rendimiento.
Inevitablemente, el verdadero riesgo de IA generativa y ChatGPT estará determinado por si los equipos de seguridad o los actores de amenazas aprovechan la automatización de manera más efectiva en la guerra de IA defensiva versus ofensiva.
Fuente: https://venturebeat.com/security/chatgpt-ransomware-malware/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
