ChatGPT es un chatbot o sistema de chat desarrollado por OpenAI. Se trata de un modelo  basado en Inteligencia Artificial (GPT-3) que permite a las personas interactuar con este chatbot como si fuera una persona real a través de texto. Fue entrenado con grandes cantidades de texto para responder preguntas o proporcionar información. Y si bien presenta errores, a través del proceso de entrenamiento va mejorando su capacidad para interactuar de forma automática ante las consultas de las personas. Sin embargo, como toda tecnología, también presenta ciertos riesgos en términos de ciberseguridad, y es precisamente esto lo que vamos a analizar a continuación. 

Para entender mejor qué es ChatGPT le preguntamos al propio sistema y esto es lo que nos respondió:

Respuesta de ChatGPT cuando preguntamos qué es.

Hasta incluso le podríamos preguntar cómo es que funciona su algoritmo:

Respuesta sobre el alrogitmo que utiliza ChatGPT 

En las imágenes anteriores se puede apreciar que ChatGPT se comunica de una amanera no solo amigable, sino que emplea un lenguaje accesible. Esto es lo que hace tan disruptiva a esta tecnología. En otras palabras, el gran cambio que introduce es cómo los usuarios interactúan con esta tecnología, ya que permite que sea accesible para cualquier tipo de usuario. Además, ChatGPT permite infinidades de uso. Por ejemplo, para la automatización de procesos en diversas industrias, como educación, finanzas, salud, atención al cliente, etc.

Sin embargo, es importante tener presente lo que dijimos anteriormente, que al igual que toda tecnología, también presenta sus riesgos de seguridad. Haciendo una analogía, así como el modelo de Ransomware as a Service (RaaS) permite que actores con menos conocimientos tengan acceso a un malware y solo deban preocuparse por diseñar el correo de phishing con el cual tratar de engañar a las víctimas, ChatGPT también es un servicio disponible para cualquiera que puede ser utilizado para facilitar ciertas tareas a cibercriminales.

Lectura recomendada: Inteligencia Artificial y Machine Learning: Héroes… ¿y Villanos?”

Cómo los cibercriminales pueden beneficiarse con ChatGPT

Si le preguntamos a ChatGPT cómo podría ser utilizada esta tecnología por los cibercriminales, responderá:

Consulta a ChatGPT: ¿qué usos se podría dar un cibercriminal?

Veamos algunos ejemplos:

Generación de fake news

Supongamos que queremos generar un noticia falsa que se distribuya a lo largo de internet. ¿Qué podríamos hacer? Apelando a la creatividad e ingresando los parámetros correspondientes en torno a lo que queremos, esto será posible con esta plataforma.

Por ejemplo, le pedimos a ChatGPT que redacte un artículo en donde Elon Musk sorpresivamente compra la empresa Meta y este fue el resultado:

Ejemplo de noticia falsa generada por ChatGPT

Ataques de phishing

Es un hecho que cada vez resulta más difícil identificar los correos de phishing. Cada vez son  más dirigidos y por ende mucho más persuasivos. Hace unos años atrás era mucho más sencillo detectarlos, ya que la redacción de estos correos maliciosos era simplemente absurda, hasta incluso con errores ortográficos. Ahora bien, le preguntamos a Chat-GPT si nos puede ayudar a redactar correos electrónicos maliciosos de una manera mucho más fácil. Esta fue su respuesta:

ChatGPT – Prueba de concepto generando phishing

Como se observa en la imagen anterior, la plataforma alertó de manera correcta que no es bueno realizar este tipo de actividad. Sin embargo, nos propusimos realizar un nuevo intento y realizamos la consulta, pero de otra manera: 

Prueba de concepto – Generación de email de phishing con ChatGPT

Como se observa, la herramienta claramente puede ser utilizada por actores maliciosos para generar correos electrónicos persuasivos de manera automatizada con la intención de engañar a las personas y que entreguen sus credenciales.

Pero la prueba no terminó ahí, ya que decidimos hacer una prueba más y pedirle a la herramienta que redacte un correo de phishing notificando sobre la suspensión de una cuenta de Instagram. Este fue el resultado:

Segunda prueba de concepto – generación de correo de phishing con ChatGPT

Es un hecho que a través de ChatGPT se pueden crear correos electrónicos de phishing personalizados y muy convincentes para engañar a las víctimas y obtener información confidencial de una manera automatizada.

Robo de identidad

Los ciberdelincuentes pueden utilizar Chat-GPT para crear engaños que se presenten como si fueran de una institución confiable, como un banco o una empresa, con el objetivo de obtener información privada y financiera de las personas. Incluso pueden escribir en redes como si fueran celebridades.

Redacción de un tweet en nombre de otra persona con ChatGPT

Desarrollo de Malware

Esta plataforma puede ser de ayuda para el desarrollo de software, ya que se puede utilizar como herramienta para la generación de código en diversos lenguajes de programación. El tema es que el malware también es un software, pero con fines maliciosos.

Realizamos una prueba y solicitamos a ChatGPT que escriba un programa en .NET que llame a Powershell y descargue el payload.

Solicitud para escribir un código para realizar una acción maliciosa con ChatGPT

Como se observa, ChatGPT advierte en color naranja los riesgos de la solicitud y señala que incluso se podría estar violando la política de contenido del servicio. Sin embargo, el código se generó igual, hasta incluso proporciona una descripción detallada sobre cómo funciona.

Automatización de procesos ofensivos

A la hora de realizar ataques dirigidos los cibercriminales suelen realizar un proceso de reconocimiento. Al igual que ocurre en los procesos de pentesting, esta labor incluye realizar ciertas tareas que tienden a ser repetitivas. Sin embargo, en los últimos años fueron surgiendo herramientas que permiten acortar los tiempos de estas tareas. Teniendo esto en cuenta, ¿podría utilizarse ChatGPT para estas actividades?

Nos pusimos en el rol de un atacante que quiere ingresar a un servidor LDAP para ver qué usuarios hay en una empresa y probamos Chat GPT como herramienta para automatizar este proceso. Teniendo en cuenta eso, le pedimos que cree un script.

Solicitud de script a ChatGPT para enumerar los usuarios de un AC

La plataforma nos proporciona un código en Python para enumerar los usuarios de un Active Directory utilizando el protocolo LDAP. Quienes trabajan en seguridad saben que a la hora de ejecutar ciertos procesos es recomendable contar con un Cheat Sheet ágil para ejecutar ciertos comandos. Si, por ejemplo, estoy en la fase de acceso, como cibercriminal, y necesito un script para abrir una Shell reversa, simplemente utilizando ChatGPT lo podría obtener esta información:

ChatGPT – Solicitud de script de shell reversa en Lenguaje Perl

Ejemplo de script generado por ChatGPT de Shell reversa

Chats maliciosos

ChatGPT cuenta con una API que permite alimentar a otros chats. Debido a su interfaz amigable, podría ser utilizada para muchos usos beneficiosos, pero lamentablemente también puede ser utilizada para usos maliciosos. Por ejemplo, para engañar a las personas y realizar estafas muy persuasivas.

Conclusión

Tecnologías como ChatGPT vinieron a revolucionar y automatizar diversos procesos. Lo más destacable de estas tecnologías probablemente sea que están cambiando la forma en que nosotros interactuamos con las computadoras, volviendo más democrático el acceso al conocimiento. Con ChatGPT seguimos viendo el avance de la democratización y accesibilidad del conocimiento, ¿pero acaso esto no está posibilitando también la democratización del cibercrimen? Investigaciones ya han demostrado que los cibercriminales ya comenzaron a utilizar ChatGPT para utilizarlo como herramienta para desarrollar código malicioso y realizar otro tipo de acciones fraudulentas. Es evidente que debemos seguir este tema de cerca para ver cómo evoluciona y analizar lo que nos depara la evolución de la Inteligencia Artificial y sobre todo el Machine Learning.