Las herramientas basadas en inteligencia artificial, como ChatGPT, pueden usarse para automatizar tareas repetitivas y sugerir ideas originales cuando nos enfrentamos a un bloqueo creativo. Pero también para malos usos como: lanzar mensajes malintencionados o campañas de phishing con el objetivo de instalar malware para robar datos o dinero, o popularizar bulos.
Si preguntas a ChatGPT si se puede utilizar ChatGPT para hacer malvertising, te responderá que no, de ningún modo. Porque esta herramienta no puede usarse para generar ni difundir publicidad maliciosa ya que iría contra las políticas de seguridad y contra la ley. Pero, cómo puede esta IA, o cualquier otra, detectar el engaño…
Los límites de seguridad de ChatGPT
Aunque ChatGPT no puede descubrir estas estafas, cuenta con filtros, restricciones y políticas que bloquean (al menos sobre el papel) la generación de contenidos dañinos. Es decir, no detecta la mentira, pero sí pone unos límites de seguridad que, sin embargo, son, en apariencia, fácilmente vulnerables.
“Estas herramientas pueden ser útiles para analizar textos y la estética de los anuncios que consideramos sospechosos, y nos pueden dar pistas sobre su posible uso fraudulento, pero no descubren el malware. Para esto hay otros instrumentos especializados en ciberseguridad”, señala Hervé Lambert, Global Consumer Operation Manager de Panda Security. “Y eso que”, continúa explicando el directivo, “en la nueva actualización de ChatGPT, se han abordado de forma clara y sustancial los riesgos de sus malos usos implementando nuevas funciones como safe completions para respuestas más seguras, mecanismos de detección y bloqueo de redes que intenten explotar el modelo con fines maliciosos, salvaguardas robustas para agentes autónomos que actúan en nombre del usuario, y la retirada proactiva de funcionalidades que podrían comprometer la privacidad o la seguridad”.
Aun así, ChatGPT, como cualquier otro asistente de inteligencia artificial, “no es un sistema invulnerable y puede ser manipulado con técnicas como prompt injection (instrucciones ocultas en un texto que buscan engañar al modelo)”.
Explotando las vulnerabilidades: phishing y malvertising
Entonces, si alguien quisiera (y supiera sortear las barreras de seguridad) podría utilizar ChatGPT para crear anuncios falsos, lanzar phishing masivo y campañas automatizadas hiperrealistas. “Sería capaz de crear correos o mensajes que imitan el estilo de marcas legítimas y redactar variaciones infinitas para evitar filtros antispam; o elaborar landing pages con mensajes convincentes con la intención de hacer phishing y fraudes de marca”, dice Lambert, quien, también apunta a que, “si alguien lograra usar un asistente de IA para malvertising podría hacer campañas fraudulentas más masivas, creíbles y peligrosas que las tradicionales con el objetivo de robar dinero, datos, o instalar malware”.
Por qué es peligroso el uso de la IA
Esta herramienta convierte a cualquiera en experto en copywriting o en programación, automatiza y escala con facilidad el proceso de envío masivo y permite elaborar mensajes más difíciles de distinguir de los anuncios legítimos. “Además, con esta solución se puede ajustar el mensaje en función del idioma, la cultura o el perfil demográfico, y hacer que cada víctima reciba un anuncio adaptado a sus intereses”, avisa el directivo de Panda.
“La IA permite crear cientos o miles de anuncios distintos en cuestión de segundos, lo que aumenta la probabilidad de que, al menos alguno de ellos, pasen los filtros automáticos de las plataformas publicitarias”, advierte el experto de Panda. Y cuando rompen estas barreras de seguridad, cualquier usuario puede convertirse en víctima y dar clic al supuesto anuncio. A partir de ahí, la maquinaria se activa y esa persona puede caer en alguna web falsa que imita su banco o algún comercio, descargarse malware o caer en una estafa de inversión. Y para qué, “pues para robar datos personales o financieros, secuestrar equipos o usar los clics para fraude publicitario”, enumera Lambert.
Los malos usos de ChatGPT
OpenAI ha detectado y bloqueado varias cuentas que usaban su herramienta para generar contenido político falso, manipular audiencias o impulsar narrativas que generaban polarización y enfrentamiento social. Este tipo de campañas no son las únicas que pueden considerarse bajo el epígrafe de mal uso de ChatGPT.
También ha habido casos en los que se han promocionado criptomonedas a través de botnet que actuaban en redes sociales. Como la llamada Fox8, compuesta por más de mil cuentas automatizadas que usaban ChatGPT para generar mensajes persuasivos. Donde se vendía criptos y sitios webs de dudosa reputación, creando campañas de spam maliciosas. No solo eso. En 2023, se descubrió una extensión de navegador que imitaba ser una herramienta oficial del chatbot de OpenAI. Cuando en realidad estaba cargada de malware y causó la filtración de datos de miles de usuarios.
“Otras investigaciones, algunas publicadas en The Guardian, ya advirtieron de la posibilidad de que la función de búsqueda integrada de ChatGPT pudiera ser manipulada”, avisa Lambert. Además explica que “usando contenido oculto en páginas web es posible influir en sus respuestas para presentar reseñas falsas o incluso devolver fragmentos de código malicioso”.
Para detener (o mitigar) estos y otros tipos de malos usos de ChatGPT. “Es importante que estas herramientas usen filtros de seguridad integrados que bloqueen solicitudes para crear malware o campañas fraudulentas. La supervisión y el cierre de cuentas que intentan este tipo de usos indebidos. Y la colaboración internacional para perseguir a quienes usen la IA con fines delictivos o ilícitos”.
WormGPT, la antítesis de ChatGPT
El avance en la implementación de medidas de seguridad en los chatbot basados en IA está provocando que los ciberdelincuentes desarrollen sus propias herramientas de inteligencia artificial para hacer el mal. WormGPT es un chatbot malicioso diseñado para actividades delictivas, libre de salvaguardas éticas o legales y orientado al uso criminal. Basado en un modelo GPT-J, abierto y sin restricciones. Fue promovido en foros como instrumento para lanzar phishing, crear código dañino sin filtros y sin límites. Y a un precio más que razonable para sus objetivos, con tarifas que oscilan entre los 60 y los 100 euros al mes. Si esto fuera el universo Marvel estaríamos asistiendo a una spin off del villano del ChatGPT. Pero esto ya nos daría para otro análisis…
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
También te puede interesar
Panda Antivirus Gratis
Soporte Técnico GRATUITO
