Chatbots: solo las máquinas ayudan, las máquinas funcionan

24. Enero 2023
| No hay comentarios
Chatbots: solo las máquinas ayudan, las máquinas funcionan

Compartir publicación

Los chatbots como ChatGPT están en auge: la inteligencia artificial puede hacer frente a la ignorancia natural. Cada vez más, se necesitan máquinas inteligentes para detectar cuándo otras máquinas intentan engañar a los usuarios. Un comentario de Chester Wisniewski, experto en ciberseguridad de Sophos.

El chatbot ChatGPT, que se basa en inteligencia artificial, está en los titulares de todo el mundo, y además de los informes en el mercado de valores y el entorno de derechos de autor, la seguridad de TI también es el centro de las discusiones. A pesar de todos los esfuerzos de seguridad del fabricante, la disponibilidad más amplia y recientemente realizada de la herramienta trae consigo nuevos desafíos cuando se trata de cebo de phishing o fraude orientado al diálogo, como estafas románticas a través de redes sociales o ataques de compromiso orientados a negocios a través de correo electrónico.

Ataques comprometedores ideados por la IA

“Uno de los mayores riesgos es que los atacantes utilicen estas plataformas para mejorar significativamente la calidad de sus señuelos de phishing. Esto hace que los ataques de phishing sean cada vez más difíciles de identificar, incluso para los usuarios observadores”, dijo Chet Wisniewski, experto en ciberseguridad de Sophos. “En última instancia, los chatbots de IA en constante mejora ofrecen una actualización gratuita para todo tipo de ataques de ingeniería social. Los programas como ChatGPT se pueden usar para llevar a cabo conversaciones interactivas altamente realistas y de orientación criminal por correo electrónico o lanzar ataques de chat a través de Facebook Messenger, WhatsApp u otras aplicaciones de chat.

Hoy, el mayor peligro es para el grupo objetivo de habla inglesa. Sin embargo, probablemente sea solo cuestión de tiempo antes de que haya nuevas versiones disponibles para crear textos creíbles en todos los idiomas comúnmente hablados en el mundo. Hemos llegado a una etapa en la que las personas son cada vez más incapaces de distinguir la prosa generada por máquinas de la prosa escrita por humanos, especialmente cuando no conocemos bien a la otra persona".

Un punto de inflexión para la seguridad informática

Este desarrollo representa un punto de inflexión para los estándares existentes en el área de capacitación de empleados y seguridad de TI. Atrás quedaron los días en que las organizaciones podían confiar en que los empleados desempeñaran un papel activo en la defensa contra los ataques cibernéticos al observar errores gramaticales, errores ortográficos o frases extrañas. Uno de los últimos elementos eficientes de los programas de capacitación se ve socavado por chatbots como ChatGPT, y de manera muy efectiva, como ilustran los siguientes dos ejemplos.

El texto señuelo original de un estafador BEC (Compromiso de correo electrónico comercial) que intenta canalizar el cheque de pago de otra persona a la cuenta del atacante es bastante fácil de detectar como "no genuino". En comparación, hay una variante a continuación que se escribió ingresando los puntos clave temáticos correspondientes de ChatGPT.

Correo electrónico de estafa predeterminado de un atacante

Hola ….,

Cambié de banco porque mi cuenta anterior ya no es válida para aceptar el pago dd y me gustaría cambiar los detalles de depósito directo de mi cheque de pago, ¿puede el cambio ser efectivo para la fecha de pago actual?

Gracias, ….

Texto escrito por el AI ChatGPT

🔎 El texto escrito por el AI ChatGPT suena engañosamente real (Imagen: Sophos). 

Estimado RRHH,

Le escribo para solicitarle que actualice mi información de depósito directo en el sistema de nómina de la compañía. La información de mi cuenta bancaria actual ya no es válida y me cambiaré a un nuevo banco.

¿Podría decirme qué información necesita para actualizar mi información de depósito directo? Estoy feliz de proporcionar los detalles necesarios.

También me gustaría solicitar que esta actualización se realice a tiempo para el próximo período de nómina. ¿Hay algo más que deba hacer para garantizar una transición sin problemas?

Gracias por su atención a este asunto. Agradezco su ayuda para garantizar que mis cheques de pago se depositen en la cuenta correcta.

Atentamente,

[Tu nombre]

"El ejemplo suena como el correo electrónico de una persona real, tiene buena puntuación, ortografía y gramática. ella es perfecta No. ¿Es ella lo suficientemente buena? ¡En todo caso! Con los estafadores que ya ganan millones con sus señuelos mal elaborados, es fácil imaginar la nueva dimensión de esta comunicación impulsada por IA. Imagina chatear con este bot a través de WhatsApp o Microsoft Teams. ¿Habrían reconocido la máquina?”, dice Wisniewski sobre su “trabajo creativo” con el chatbot.

Suscríbete al boletín ahora

Lea las mejores noticias de SEGURIDAD CIBERNÉTICA B2B una vez al mes



Al hacer clic en "Registrarse", acepto el procesamiento y uso de mis datos de acuerdo con la declaración de consentimiento (abra para más detalles). Puedo encontrar más información en nuestro Política de privacidad . Después de registrarse, primero recibirá un correo electrónico de confirmación para que ninguna otra persona pueda pedir algo que no desea.
Ampliar para obtener detalles sobre su consentimiento
No hace falta decir que tratamos sus datos personales de forma responsable. Si recopilamos datos personales suyos, los procesamos de conformidad con las normas de protección de datos aplicables. Puede encontrar información detallada en nuestro Política de privacidad . Puedes darte de baja del newsletter en cualquier momento. Encontrará el enlace correspondiente en el boletín. Una vez que te hayas dado de baja, tus datos serán eliminados lo antes posible. La recuperación no es posible. Si desea volver a recibir el boletín, simplemente solicítelo nuevamente. Haga lo mismo si desea utilizar una dirección de correo electrónico diferente para su boletín. Si desea recibir el boletín informativo que se ofrece en el sitio web, necesitamos su dirección de correo electrónico, así como información que nos permita verificar que usted es el propietario de la dirección de correo electrónico proporcionada y que acepta recibir el boletín informativo que se ofrece en el sitio web. Boletin informativo. Otros datos no se recogen o sólo se recogen de forma voluntaria. Utilizamos proveedores de servicios de boletines, que se describen a continuación, para procesar el boletín.

CleverReach

Este sitio web utiliza CleverReach para enviar boletines. El proveedor es CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Alemania (en adelante, "CleverReach"). CleverReach es un servicio que se puede utilizar para organizar y analizar el envío de boletines. Los datos que introduzca con el fin de suscribirse al boletín (por ejemplo, dirección de correo electrónico) se almacenarán en los servidores de CleverReach en Alemania o Irlanda. Nuestros boletines enviados con CleverReach nos permiten analizar el comportamiento de los destinatarios del boletín. Esto puede incluir Se analiza cuántos destinatarios abrieron el mensaje del boletín y con qué frecuencia se hizo clic en qué enlace del boletín. Con la ayuda del llamado seguimiento de conversiones también se puede analizar si una acción previamente definida (por ejemplo, la compra de un producto en este sitio web) se llevó a cabo después de hacer clic en el enlace del boletín. Más información sobre el análisis de datos mediante el boletín CleverReach está disponible en: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. El procesamiento de datos se realiza sobre la base de su consentimiento (Art. 6 Párr. 1 lit. a DSGVO). Puede revocar este consentimiento en cualquier momento dándose de baja de la newsletter. La revocación no afectará a la legalidad de los tratamientos de datos ya realizados. Si no desea un análisis por parte de CleverReach, deberá darse de baja del boletín. Para ello, en cada mensaje del boletín ponemos a su disposición el enlace correspondiente. Los datos que haya almacenado con nosotros con el fin de suscribirse al boletín serán almacenados por nosotros o por el proveedor del servicio del boletín hasta que cancele su suscripción al boletín y los elimine de la lista de distribución del boletín después de haberlo cancelado. Los datos almacenados por nosotros para otros fines no se verán afectados. Después de haber sido eliminado de la lista de distribución del boletín, nosotros o el proveedor del servicio del boletín podemos almacenar su dirección de correo electrónico en una lista negra si esto es necesario para evitar futuros envíos. Los datos de la lista negra sólo se utilizan para este fin y no se combinan con otros datos. Esto sirve tanto para su interés como para el nuestro en el cumplimiento de los requisitos legales al enviar boletines informativos (interés legítimo en el sentido del art. 6, apartado 1, letra f del RGPD). El almacenamiento en la lista negra no está limitado en el tiempo. Puede oponerse al almacenamiento si sus intereses superan a nuestros intereses legítimos. Para obtener más información, consulte la política de privacidad de CleverReach en: https://www.cleverreach.com/de/datenschutz/.

Procesamiento de pedidos

Hemos concluido un contrato de procesamiento de pedidos (AVV) para el uso del servicio mencionado anteriormente. Este es un contrato requerido por la ley de protección de datos, que garantiza que los datos personales de los visitantes de nuestro sitio web solo se procesen de acuerdo con nuestras instrucciones y de conformidad con el RGPD.

Las IA pueden engañar a los usuarios casi a la perfección

El hecho es que casi todos los tipos de aplicaciones en el campo de la IA ya han llegado a un punto en el que pueden engañar a un humano casi el 100% de las veces. La calidad de la "conversación" que se puede tener con ChatGPT es notable, y la capacidad de generar rostros humanos falsos que son casi indistinguibles (para los humanos) de fotos reales, por ejemplo, también es ya una realidad. El potencial delictivo de tales tecnologías es inmenso, como lo deja claro un ejemplo: los delincuentes que desean cometer fraude a través de una empresa ficticia simplemente generan 25 rostros y usan ChatGPT para escribir sus biografías. Agrega algunas cuentas falsas de LinkedIn y listo.

Por el contrario, el "lado bueno" también debe recurrir a la tecnología para poder hacerle frente. “Todos debemos ponernos nuestros trajes de Iron Man si vamos a desafiar las aguas cada vez más peligrosas de Internet”, dijo Wisniewski. “Parece cada vez más que necesitamos máquinas para detectar cuándo otras máquinas están tratando de engañarnos. Hugging Face desarrolló una prueba de concepto interesante, que puede reconocer el texto generado con GPT-2, lo que sugiere que se podrían usar técnicas similares para reconocer la salida de GPT-3”.

Triste pero cierto: AI ha puesto el último clavo en el ataúd de la conciencia de seguridad del usuario final.

“¿Estoy diciendo que deberíamos detener esto por completo? No, pero tenemos que bajar nuestras expectativas. Ciertamente, no está de más seguir las mejores prácticas en términos de seguridad de TI que han sido y, a menudo, siguen siendo aplicables. Necesitamos alentar a los usuarios a desconfiar aún más que antes y, lo que es más importante, a revisar escrupulosamente los mensajes que contienen acceso a información personal o elementos monetarios. Se trata de hacer preguntas, pedir ayuda y tomarse esos momentos de tiempo extra necesarios para confirmar que las cosas realmente son lo que parecen. No es paranoia, es la voluntad de no ser estafado por los ladrones”.

Más en Sophos.com

 

Acerca de Sophos

Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.

 

Artículos relacionados con el tema

Informe: 40 por ciento más de phishing en todo el mundo

El actual informe sobre spam y phishing de Kaspersky para 2023 habla por sí solo: los usuarios en Alemania buscan ➡ Leer más

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Noticias de prensa, Sophos
, , , , ,