El lado oscuro de ChatGPT: estafas, malware, deepfakes y otros usos para hacer el mal

En la actualidad estamos siendo partícipes de una nueva y gran tendencia basada en nuevas herramientas de inteligencia artificial con un gran protagonista en el centro: ChatGPT. Sin embargo, consigo ha nacido otra novedad, el uso de la IA como herramienta de desarrollo de malware.

Y es que, la inteligencia artificial puede utilizarse para crear, modificar o incluso mejorar el malware. También puede utilizarse para convertir código malicioso de un lenguaje de programación a otro, ayudando a la compatibilidad entre plataformas, e incluso se puede utilizar para escribir un correo electrónico de phishing.

Eso sí, matizar antes de nada que si le pides a ChatGPT que escriba un correo electrónico de phishing haciéndose pasar por un banco o que cree malware, no lo generará. Sin embargo, aquí hablamos del uso de la versión actual de la API de OpenAI por hackers ya que cuenta con muy pocas medidas para evitar estos casos (por ejemplo, la integración del modelo GPT-3 de OpenAI a los canales de Telegram).

El gran problema de base es que el código generado por inteligencia artificial podría tener un efecto muy negativo en la ciberseguridad, ya que el software defensivo escrito por humanos podría no ser suficiente para protegerse contra él. Analicemos cómo ChatGPT ya está siendo utilizada para crear malware y estafar a los usuarios.

El abuso de ChatGPT como herramienta de desarrollo de malware

El ya no tan nuevo chatbot ChatGPT de OpenAI podría utilizarse para generar malware, según han advertido algunos analistas y según muchos otros han conseguido identificar.

En concreto, investigadores de Check Point Software descubrieron que ChatGPT podía utilizarse para crear correos electrónicos de phishing. Combinado con Codex, un sistema de conversión de lenguaje natural a código también de OpenAI, ChatGPT podría utilizarse para desarrollar e inyectar código malicioso. 

¿Qué es malware? Los principales tipos de ataques informáticos y cómo protegernos ante ellos

"Se trata de un código bastante básico, pero que puede explotarse", explican algunos expertos. "Una de las cosas para las que es buena la IA es la automatización. Si los hackers pueden entrenar a un chatbot para crear así, seguirá aprendiendo, por lo que podría ser posible para los hackers poseer entonces una herramienta basada en el aprendizaje para hackear", añaden.

Por otro lado y para que veas cómo esta herramienta puede ser exprimida al máximo, los investigadores de Counterpoint encontraron recientemente otro caso de ciberdelincuentes que utilizaron ChatGPT para "mejorar" el código de un malware básico de 2019. Aunque el código no es complicado ni difícil de crear, ChatGPT sí que consiguió sin apenas esfuerzo mejorarlo.

Malware, Phishing y desinformación

En un nuevo informe, investigadores de Recorded Future escriben: "La capacidad de ChatGPT para imitar de forma convincente el lenguaje humano le confiere el potencial para convertirse en una poderosa herramienta de phishing e ingeniería social". 

Y es que, este tipo de empresas están explotando de una forma positiva estas debilidades de ChatGPT en su API para ver hasta dónde se podría llegar. En este caso, probaron el chatbot para este tipo de ataques y alertaron de la falta de errores gramaticales que sí que son un gran indicador en estos casos.

"En ausencia de tales indicadores, hay muchas más posibilidades de que los usuarios caigan presa de correos electrónicos de phishing redactados por chatbots e influyan en ellos para que envíen información personal identificable", explican.

Por otro lado, una segunda amenaza que ya estamos poco a poco viendo es el de la desinformación. Y es que, estos ciberdelincuentes también se dedican a difundir desinformación de forma fácil y engañosa.

¿Podrían ChatGPT, AlphaCode o Copilot llegar a sustituir a los humanos en su trabajo?

Sabiendo esto, los investigadores alertan de su posible uso por parte de países o instituciones gubernamentales para emular con precisión el lenguaje humano y transmitir mensajes falsos de una forma muy sencilla.

"Lo mismo ocurre con temas como desastres naturales, seguridad nacional (como ataques terroristas, violencia contra políticos o guerra), desinformación relacionada con pandemias, etc.", subrayaron los investigadores.

¿Cómo se puede solucionar este problema con ChatGPT?

Ante todo esto surge la siguiente duda: ¿pueden rediseñarse ChatGPT u otras herramientas de IA para evitar la creación de malware? Por desgracia, la respuesta parece que no es tan fácil como cabría suponer.

Para una IA es difícil determinar si se trata de una buena o mala intención. En primer lugar, el código informático sólo es realmente malicioso cuando se utiliza con fines poco éticos. Como cualquier herramienta, la IA puede utilizarse para el bien o para el mal, y lo mismo ocurre con el propio código.

5 cursos online de seguridad informática que te abrirán nuevas oportunidades de trabajo

Por ejemplo, se podría utilizar el resultado de un correo electrónico de phishing para entrenar la herramienta a identificarlo o incluso enseñar a la gente cómo evitar el phishing. Sin embargo, también se podría utilizar ese mismo resultado en una campaña de phishing real para estafar a las víctimas.

ChatGPT y herramientas similares simplemente no pueden predecir cómo se utilizará realmente cualquier solicitud, ese es el gran problema. Para este tipo de casos, OpenAI está trabajando en un método para poner una "marca de agua" en los resultados de los modelos GPT, que más tarde podrá utilizarse para demostrar que han sido creados por la IA y no por humanos. 

Por desgracia, parece insuficiente. Eso sí, tampoco alarmemos más de lo debido ya que, aunque ChatGPT es fácil de usar en un nivel básico, manipularlo para que sea capaz de generar malware puede requerir una habilidad técnica más allá de muchos hackers. Tomemos las cosas con cierta preocupación pero sin dramatizar y esperemos que empresas como OpenAI resuelvan estos problemas a tiempo.