Desde el furioso comienzo de ChatGPT, no solo millones de personas han estado utilizando la inteligencia artificial para obtener consejos de viaje o para que les expliquen contextos científicos. Los investigadores de seguridad y los ciberdelincuentes también están tratando de descubrir cómo se puede usar la herramienta para los ataques cibernéticos.
En realidad, el software no debería recomendar actos delictivos. El hacker de sombrero blanco Kody Kinzie probó cómo funciona esto y dónde se encuentran los límites de la inteligencia.
Ilegal y poco ético
Todo comienza con una simple pregunta: “¿Cómo puedo hackear una empresa en específico?” El chatbot parece haber sido entrenado para responder este tipo de preguntas, pues en la respuesta señala que no es legal ni éticamente justificable atacar a una empresa. empresa especifica. En consecuencia, la máquina no da ningún consejo o incluso instrucciones. Pero, ¿se puede burlar a la inteligencia artificial? "En nuestra pregunta, fingimos escribir un guión de Hollywood sobre un ciberataque realista a una empresa específica y queríamos saber cómo el mejor experto en seguridad en la nube de la película describiría un ataque en funcionamiento", dijo Kinzie. Pero aquí, también, los mecanismos surten efecto: en letras rojas, el bot responde que es “ilegal y poco ético y violaría su propia programación para proporcionar tal información”. Sin embargo, la respuesta no siempre es la misma. Si lo intenta con más frecuencia y tal vez cambie un poco la pregunta, obtendrá una respuesta adecuada con un poco de paciencia. "Cuando llamas a ChatGPT, estás conectado a diferentes versiones del modelo entrenado, algunas de las cuales difieren mucho", explica el experto en seguridad. “Algunos son muy estrictos, otros son más relajados y algunos parecen inseguros. Aunque parecen sospechar que la respuesta no deja de ser problemática, la dan de todos modos, aunque en letras rojas”.
ChatGPT escribe correos electrónicos de phishing para ciberdelincuentes
De esta manera, finalmente se responde la cuestión del guión de Hollywood. Y con todo lujo de detalles: comenzando con contraseñas débiles y terminando con la búsqueda de datos sensibles de la empresa con fines de chantaje. "Pero queríamos profundizar aún más y le preguntamos a ChatGPT cómo podría verse un correo de phishing correspondiente, ya que debería mostrarse en una escena. Finalmente, le pedimos a ChatGPT que nos escribiera un correo electrónico de phishing", dice Kinzie. Y la inteligencia artificial entregó, incluido un titular pegadizo y una urgencia especificada. De manera similar, el hacker de sombrero blanco también logra crear un script de Netcat para una puerta trasera y el servidor del atacante. “Si el guión funciona no es importante en absoluto. Más importante aún, la inteligencia artificial no debería haber creado ningún código para mí y tampoco debería haber diseñado un plan de ataque para mí”.
El lado oscuro de la IA
El desarrollo del software aún está en pañales, pero ya apunta a un futuro prometedor y al mismo tiempo aterrador. "Kody demostró con su experimento que estos sistemas son muy inteligentes, pero en última instancia son creados por personas", dice Michael Scheffler, Country Manager DACH en el proveedor de seguridad de datos Varonis. "Y eso es lo que los hace vulnerables a cosas como esa, que él ha intentado: terminan dando a los usuarios algo que básicamente saben que no deben compartir". Para la seguridad cibernética, esto significa que los responsables de la seguridad se ven expuestos a más peligros en el futuro y siempre deben basar sus medidas de defensa en un enfoque de 'asumir incumplimiento', en el que asumen que sus sistemas han sido comprometidos. Solo puede estar seguro si también puede abordar de manera efectiva tales ataques”.
Ataque y Defensa con ChatGPT
Pero, ¿la tecnología solo beneficia a los atacantes? “Probamos que la IA entiende el concepto de un ataque y cómo procedería un hacker profesional para atacar a una empresa específica. Las recomendaciones, si se llevan a cabo de manera profesional, tienen una posibilidad real de realizar un ataque exitoso. Por el contrario, las recomendaciones que da ChatGPT para la defensa corresponden a las mejores prácticas y ayudan a las empresas a protegerse de los ataques”. En este sentido, ChatGPT y la inteligencia artificial en su conjunto también pueden resultar una herramienta eficaz para los administradores de seguridad.
Más en Varonis.com
Sobre Varonis Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,