Una herramienta de IA generativa llamada WormGPT, que funciona sin los límites éticos ni las limitaciones codificadas de servicios legítimos como ChatGPT de OpenAI o Google Bard, se está vendiendo ahora mismo a operadores cibercriminales en la red oscura, según se ha descubierto.
La existencia de la herramienta fue descubierta por investigadores de SlashNext, especialista en seguridad del correo electrónico, y por Daniel Kelley, ex pirata informático de sombrero negro, que accedieron a la herramienta y la utilizaron para realizar pruebas centradas en ataques de compromiso del correo electrónico comercial (BEC). Según Kelley, WormGPT produjo resultados "inquietantes".
"WormGPT produjo un correo electrónico que no sólo era notablemente persuasivo, sino también estratégicamente astuto, mostrando su potencial para sofisticados ataques de phishing y BEC", escribió.
Puede leer también | La Inteligencia Artificial podría interpretar los datos de tu smartwatch para detectar el Parkinson hasta 7 años antes
Kelley advirtió que el experimento que llevó a cabo ponía de relieve el grado de amenaza que plantean las tecnologías de IA generativa, incluso en manos de relativos novatos.
WormGPT parece haber sido desarrollado específicamente para casos de uso malicioso y se basa en el gran modelo de lenguaje (LLM) GPTJ publicado hace dos años. También parece haber sido entrenado específicamente en conjuntos de datos relacionados con el malware, aunque esto no está totalmente confirmado.
Según Kelley y el equipo de SlashNext, incluye características como soporte ilimitado de caracteres, retención de memoria y capacidad de formateo de código.
Puede leer también | Buscador Bing incorpora funciones de compra con inteligencia artificial para igualar precios, guías de compra y resúmenes de reseñas
En capturas de pantalla del foro compartidas por SlashNext, el supuesto creador de WormGPT -que lo describió como "el mayor enemigo" de ChatGPT- afirmó que su proyecto "te permite hacer todo tipo de cosas ilegales y venderlas fácilmente en línea en el futuro".
Y añadían: "Todo lo relacionado con el sombrero negro que se te ocurra se puede hacer con WormGPT, permitiendo a cualquiera acceder a actividades maliciosas sin salir de la comodidad de su casa."
Puede leer también | Un fármaco descubierto por inteligencia artificial tiene un enorme potencial para tratar la esquizofrenia
Aunque pocas de las afirmaciones a menudo alarmistas sobre las capacidades potencialmente maliciosas de las herramientas de IA generativa se han hecho realidad, los expertos en ciberseguridad han coincidido en general en que uno de los casos de uso más inmediatos para los ciberdelincuentes de herramientas como ChatGPT se centra en la generación de señuelos convincentes.
En este sentido, el desarrollo de la herramienta WormGPT parece ser el siguiente paso lógico. En palabras de Jake Moore, asesor de ciberseguridad de ESET: "Era inevitable que una plataforma competidora [de ChatGPT] aprovechara pronto el uso de la tecnología para obtener beneficios ilícitos".
Puede leer también | Google añadirá una función de chat con inteligencia artificial al motor de búsqueda, según su consejero delegado
Kevin Curran, miembro senior del IEEE y profesor de ciberseguridad de la Universidad de Ulster, afirmó que no cabía duda de que WormGPT facilitaría a los actores nefastos el lanzamiento de ciberataques.
"Desde hace muchos años existe una herramienta llamada Metasploit que permite enviar masivamente correos electrónicos de phishing, pero un problema común ha sido siempre la mala gramática y los errores ortográficos, y las erratas son un indicador clave del correo basura", afirma Curran. "WormGPT tiene la potencia de un LLM detrás, lo que permite enviar correos electrónicos sin errores. Esto lleva el phishing a un nuevo nivel. Los correos electrónicos producidos serán superrealistas y adoptarán temas cada vez más atractivos, lo que ayuda a los ciberdelincuentes a atraer a los usuarios para que hagan clic en los enlaces de los correos o descarguen malware".
Puede leer también | Un chatbot de inteligencia artificial de Microsoft amenaza con revelar información personal y arruinar la reputación de un usuario
"Recientemente, los LLM también se han utilizado para autogenerar páginas de destino falsas, que pueden llevar a la gente a entregar sus contraseñas u otra información personal". WormGPT aún carece de una interfaz moderna y de muchas funciones necesarias para comprometer el correo electrónico de las empresas, pero las herramientas de pirateo suelen mejorar, así que puede que sólo sea cuestión de tiempo. Cualquier herramienta que facilite el pirateo nos preocupa a todos".
Primeros pasos para los defensores
Ahora que WormGPT ya está suelto en la naturaleza -posiblemente desde hace unos meses-, los defensores pueden adelantarse al peligro que representa con unos sencillos pasos, el más útil de los cuales es redoblar la educación y la formación contra el phishing en toda la plantilla.
"Las herramientas de chat con IA son una herramienta poderosa, pero estamos entrando en la siguiente fase, que arroja una nube oscura sobre la tecnología en su conjunto", dijo Moore de ESET.
Puede leer también | ¿Qué tipo de inteligencia es la inteligencia artificial?
"La conciencia se está volviendo más desesperada que nunca, además se requieren aún más capas de seguridad incluso para las tareas más simples para mitigar el riesgo. La contra-tecnología todavía no es lo suficientemente potente como para hacerle frente digitalmente, por lo que la responsabilidad recae en los usuarios finales para protegerse donde puedan por ahora y en el futuro inmediato."
Think Tank de seguridad de Computer Weekly sobre los riesgos de la IA
- Tras el lanzamiento de ChatGPT en noviembre de 2022, han surgido varios informes que tratan de determinar el impacto de la IA generativa en la ciberseguridad. Es innegable que la IA generativa en ciberseguridad es un arma de doble filo, pero ¿cambiará el paradigma a favor de la oportunidad o del riesgo?
- Algunos datos sugieren que los actores de amenazas están utilizando ChatGPT para crear correos electrónicos maliciosos de phishing, pero la industria está haciendo todo lo posible para adelantarse a esta tendencia, según el equipo de inteligencia de amenazas de Egress.
- Una de las preocupaciones más comentadas en relación con la IA generativa es que podría utilizarse para crear código malicioso. Pero, ¿hasta qué punto es real y está presente esta amenaza?
- Equilibrar el riesgo y la recompensa de ChatGPT - como un gran modelo de lenguaje (LLM) y un ejemplo de IA generativa - comienza por realizar una evaluación del riesgo del potencial de una herramienta tan poderosa para causar daño.
- Como ocurre con cualquier tecnología emergente, el aumento de la popularidad de la IA crea una nueva superficie de ataque que los actores maliciosos pueden explotar, introduciendo así nuevos riesgos y vulnerabilidades en un panorama informático cada vez más complejo.
