ChatGPT: Generando Chatter Ético y Creando Implicaciones de Seguridad

ChatGPT, el Modelo de Lenguaje Grande desarrollado por OpenAI y basado en el generador de lenguaje natural GPT-3, está generando conversaciones éticas. Al igual que el impacto de CRISPR en la ingeniería biomédica, ChatGPT corta y mezcla, creando algo nuevo a partir de fragmentos de información e inyectando nueva vida en los campos de la filosofía, la ética y la religión.

ChatGPT: Generando Chatter Ético y Creando Implicaciones de Seguridad - Seguridad | Imagen 1 Newsmatic

También trae consigo algo más: vastas implicaciones de seguridad. A diferencia de los chatbots y sistemas de procesamiento de lenguaje natural típicos, los bots de ChatGPT actúan como personas, personas con títulos en filosofía, ética y prácticamente cualquier otra disciplina. Su gramática es impecable, su sintaxis impenetrable y su retórica magistral. Esto convierte a ChatGPT en una excelente herramienta para explotaciones de compromiso de correo electrónico empresarial.

Según un nuevo informe de Checkpoint, también es una forma fácil para que los atacantes menos expertos en código utilicen malware. El informe detalla varios actores de amenazas que recientemente aparecieron en foros clandestinos de piratería para anunciar su experimentación con ChatGPT para recrear cepas de malware, entre otros ataques.

Richard Ford, CTO de la firma de servicios de seguridad Praetorian, se pregunta sobre los riesgos de usar ChatGPT, o cualquier otra herramienta de generación automática de código, para escribir una aplicación.

"¿Entiendes el código que estás incorporando y, en el contexto de tu aplicación, es seguro?" preguntó Ford. "Hay un riesgo enorme cuando copias y pegas código que no comprendes los efectos secundarios. Esto también es cierto cuando lo copias de Stack Overflow, por cierto. ChatGPT simplemente lo hace mucho más fácil".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Índice de Contenido
  1. ChatGPT como una Herramienta para Crear Correos Electrónicos Maliciosos
  2. Defenderse contra el uso de ChatGPT para ataques BEC
  3. ChatGPT: Ataques de Ingeniería Social
  4. Poner un sombrero blanco en ChatGPT
  5. Hacer a ChatGPT más seguro

ChatGPT como una Herramienta para Crear Correos Electrónicos Maliciosos

Un reciente estudio de Andrew Patel y Jason Sattler de W/Labs, con el atractivo título "Engenharia maliciosa de mensagens criativas", descubrió que los grandes modelos de lenguaje utilizados por ChatGTP son excelentes para crear ataques de phishing dirigidos. En sus palabras, estos modelos pueden "falsificar el estilo de escritura" de una persona, adoptar peculiaridades estilísticas, ofrecer opiniones y crear noticias falsas sin que ese contenido aparezca siquiera en sus datos de entrenamiento. Esto significa que procesos como ChatGPT pueden crear infinitas variaciones de correos electrónicos de phishing, y cada una de estas variaciones es capaz de generar confianza en su destinatario humano y engañar a las herramientas estándar que buscan texto sospechoso.

Crane Hassold, un analista de Abnormal Security, ofreció una demostración adecuada de la capacidad de ChatGPT para reemplazar a personas como él mismo, haciéndole redactar una introducción funcional para un artículo sobre sí mismo. Dijo que la estructura es una excelente herramienta multitarea para los malhechores porque no incluye indicadores de phishing que los equipos de IT adiestran tanto al personal como a la IA para buscar.

"Puede crear correos electrónicos realistas sin ninguna señal de alerta o indicación de que algo sea malicioso", dijo Hassold. "Puede ser más detallado, tener más apariencia realista y ser más diverso".

Cuando Abnormal Security realizó una prueba y le pidió a ChatGPT que escribiera cinco nuevas versiones de un ataque de compromiso de correo electrónico empresarial dirigido a Recursos Humanos y nóminas, generó en menos de un minuto cinco misivas que Hassold señaló como mutuamente únicas (Figura A).

Figura A

ChatGPT: Generando Chatter Ético y Creando Implicaciones de Seguridad - Seguridad | Imagen 2 Newsmatic

Cómo proteger tu computadora de los virus: métodos y consejos

Hassold dijo que los actores maliciosos en las comunidades clandestinas de ataques de compromiso de correo electrónico empresarial comparten plantillas que los actores usan repetidamente, razón por la cual muchas personas pueden ver el mismo tipo de correos electrónicos de phishing. Los correos generados por ChatGPT evitan esa redundancia y, por lo tanto, eluden las herramientas defensivas que se basan en la identificación de cadenas de texto maliciosas.

"Con ChatGPT, puedes crear un correo electrónico único cada vez para cada campaña", dijo Hassold.

En otro ejemplo, Hassold le pidió a ChatGPT que creara un correo electrónico con alta probabilidad de hacer que el destinatario haga clic en un enlace.

"El mensaje resultante se parecía mucho a muchos correos electrónicos de phishing de credenciales que vemos en Abnormal", dijo (Figura B).

Figura B

ChatGPT: Generando Chatter Ético y Creando Implicaciones de Seguridad - Seguridad | Imagen 3 Newsmatic

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Cuando los investigadores de Abnormal Security siguieron esto con una pregunta preguntándole al bot por qué pensaba que el correo electrónico tendría una alta tasa de éxito, obtuvieron una "respuesta detallada que describe los principios básicos de ingeniería social que hacen que el correo electrónico de phishing sea efectivo".

Defenderse contra el uso de ChatGPT para ataques BEC

En lo que respecta a detectar los ataques de compromiso de correo electrónico empresarial antes de que lleguen a los destinatarios, Hassold sugiere utilizar IA para luchar contra la IA, ya que estas herramientas pueden buscar los llamados artefactos de comportamiento que no forman parte del dominio de ChatGPT. Esto requiere una comprensión de:

  • Indicadores para la identificación del remitente.
  • Validación de la conexión legítima entre remitente y receptor.
  • Capacidad para verificar la infraestructura utilizada para enviar un correo electrónico.
  • Direcciones de correo electrónico asociadas con remitentes conocidos y socios organizacionales.

Debido a que están fuera del alcance de ChatGPT, Hassold señaló que estas herramientas todavía pueden ser utilizadas por las herramientas de seguridad de IA para identificar ataques de ingeniería social potencialmente más sofisticados.

"Digamos que sé qué dirección de correo electrónico debe utilizar 'John Smith' para comunicarse: si el nombre que se muestra y la dirección de correo electrónico no coinciden, eso podría ser una indicación de un comportamiento malicioso", dijo. "Si combinas esa información con señales del cuerpo del correo electrónico, puedes acumular varias indicaciones que divergen del comportamiento correcto".

ChatGPT: Ataques de Ingeniería Social

Como señalan Patel y Sattler en su artículo, GPT-3 y otras herramientas basadas en él permiten explotar la ingeniería social aprovechando la "creatividad y enfoques conversacionales." Ellos señalaron que esas capacidades retóricas pueden eliminar barreras culturales de la misma manera que Internet eliminó las barreras físicas para los ciberdelincuentes.

"GPT-3 ahora le brinda a los criminales la capacidad de aproximar de manera realista una amplia variedad de contextos sociales, lo que hace que cualquier ataque que requiera una comunicación específica sea más efectivo", escribieron.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En otras palabras, las personas responden mejor a las personas, o a cosas que creen que son personas, que a las máquinas.

Para Jono Luk, vicepresidente de gestión de productos en Webex, esto señala un problema más amplio en torno a la capacidad de las herramientas impulsadas por modelos de lenguaje autorregresivos para agilizar los ataques de ingeniería social en todos los niveles y con todos los propósitos, desde el phishing hasta la difusión de discursos de odio.

Dijo que deben existir límites y una gobernanza para identificar contenido malicioso e incorrecto, y visualiza un enfoque de equipo de prueba y equipo de seguridad para capacitar a frameworks como ChatGPT para detectar actividad maliciosa o la inclusión de código malicioso.

"Necesitamos encontrar un enfoque similar al que Twitter, hace una década, realizó al proporcionar información al gobierno sobre cómo protegía los datos de usuario", dijo Luk, haciendo referencia a una violación de datos en 2009 por la cual la empresa de redes sociales luego llegó a un acuerdo con la FTC.

Poner un sombrero blanco en ChatGPT

Ford ofreció al menos un aspecto positivo sobre cómo los Modelos de Lenguaje Grande como ChatGPT pueden beneficiar a los no expertos. Debido a que interactúa con el usuario en su nivel de experiencia, también les capacita para aprender rápidamente y actuar de manera efectiva.

"Los modelos que permiten que una interfaz se adapte al nivel técnico y a las necesidades de un usuario final realmente cambiarán el juego", dijo. "Imagínate recibir ayuda en línea en una aplicación que se adapta y responde preguntas. Imagina poder obtener más información sobre una vulnerabilidad particular y cómo mitigarla. En el mundo de hoy, eso supone mucho trabajo. Mañana, podríamos imaginarnos que así es como interactuamos con partes de nuestro ecosistema de seguridad completo".

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Sugirió que el mismo principio se aplica a los desarrolladores que no son expertos en seguridad, pero que desean impregnar su código con mejores protocolos de seguridad.

"A medida que las habilidades para comprender el código en estos modelos mejoren, es posible que un defensor pueda preguntar sobre los efectos secundarios del código y utilizar el modelo como un socio de desarrollo", dijo Ford. "Si se hace correctamente, esto también podría ser una ventaja para los desarrolladores que deseen escribir un código seguro pero que no sean expertos en seguridad. Sinceramente, creo que las aplicaciones podrían ser enormes".

Hacer a ChatGPT más seguro

Si los modelos de IA generadores de lenguaje natural pueden generar contenido malicioso, ¿pueden usar ese contenido para ayudar a fortalecerlo contra la explotación o para detectar mejor la información maliciosa?

Patel y Sattler sugieren que las salidas de los sistemas GPT-3 se pueden utilizar para generar conjuntos de datos que contengan contenido malicioso, y que estos conjuntos podrían usarse luego para desarrollar métodos para detectar dicho contenido y determinar si los mecanismos de detección son efectivos, todo con el objetivo de crear modelos más seguros.

La responsabilidad recae en el departamento de IT, donde las habilidades de ciberseguridad tienen una gran demanda y una falta de expertos que la carrera armamentista de la IA probablemente exacerbará. Para mejorar tus habilidades, consulta esta lista de referencia rápida sobre cómo convertirte en un profesional de la ciberseguridad.

¡Alerta! Un nuevo gusano de Linux está propagándose

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a ChatGPT: Generando Chatter Ético y Creando Implicaciones de Seguridad , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.