Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo ChatGPT cambia el juego del phishing

[16/01/2023] ChatGPT, el chatbot gratuito de OpenAI basado en GPT-3.5, se lanzó el 30 de noviembre del 2022 y acumuló un millón de usuarios en cinco días. Es capaz de escribir correos electrónicos, redacciones, código y correos de phishing, si el usuario sabe cómo pedirlo.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

En comparación, Twitter tardó dos años en alcanzar el millón de usuarios. Facebook tardó diez meses, Dropbox siete meses, Spotify cinco meses, Instagram seis semanas. Pokemon Go tardó diez horas, así que no saquemos las botellas de champán; pero, aun así, cinco días es bastante impresionante para una herramienta basada en la web que no tenía ningún reconocimiento de nombre incorporado.

Hay muchas buenas razones para preocuparse por ChatGPT de OpenAI en este momento. Escribe mejores redacciones que el estudiante medio de instituto o universidad. Puede escribir y depurar código.

"Permite a personas con cero conocimientos de codificación y desarrollo ser desarrolladores", afirma Sergey Shykevich, director del grupo de inteligencia de amenazas de Check Point Software Technologies. Shykevich, que reside en Israel, ha estado siguiendo las conversaciones en la web oscura.

Ya ha encontrado pruebas de que los malos actores, incluidos algunos sin experiencia en desarrollo, están utilizando ChatGPT para crear herramientas maliciosas. El 5 de diciembre del 2022 empezaron a aparecer entradas en Habr.com, un blog ruso sobre tecnología, en las que se explicaba cómo utilizar ChatGPT para programar. 2Chan, la respuesta rusa a 4Chan, debatió el 7 de diciembre sobre cómo evitar el geobloqueo de OpenAI.

Pero algunos usuarios también están estudiando cómo utilizar la IA de forma no destructiva, por ejemplo, para crear obras de arte o libros electrónicos para vender en línea. ChatGPT también puede explicar física cuántica a un niño de seis años, escribir poesía, crear un plan de comidas personalizado y sacar 1020 en la selectividad.

Y cuanta más gente lo utilice, más inteligente será.

Con una nueva y mejor versión prevista para este año, los competidores ya están entrando en el juego. Por ejemplo, You.com ya tiene su propio clon de ChatGPT, que, a diferencia de ChatGPT, tiene acceso a Internet y puede responder a preguntas sobre noticias de actualidad. Microsoft, que ya ha invertido mil millones de dólares en OpenAI, invertirá al parecer otros 10 mil millones y añadirá ChatGPT a su motor de búsqueda Bing en marzo. Microsoft también planea integrarlo en su paquete Office. Al parecer, Google ha declarado un "código rojo" mientras se apresura a responder.

Cómo ChatGPT puede facilitar el phishing

Se habla mucho de ChatGPT y de lo que puede hacer, pero lo que más preocupa a los profesionales de la seguridad empresarial es que ChatGPT y sus competidores permitirán a los agresores aumentar drásticamente la calidad y cantidad de su código y texto.

No vamos a hablar de las capacidades de codificación de ChatGPT, que también son muy, muy aterradoras, pero incluso limitando la discusión a la capacidad de ChatGPT para generar texto, sus posibilidades para los actores de amenazas son bastante impresionantes, y es probable que mejoren rápidamente.

En la actualidad, ChatGPT ya es capaz de escribir correos electrónicos indistinguibles de los escritos por humanos, en cualquier estilo de escritura. Puede generar texto para publicaciones en redes sociales, guiones de videos de YouTube, contenido de sitios web, comunicados de prensa, reseñas... cualquier cosa que un atacante necesite para crear una presencia web falsa, una persona falsa o suplantar a personas reales.

Cuando se trata de phishing, los atacantes pueden empezar utilizando ChatGPT y plataformas similares para generar correos electrónicos individuales que parezcan realistas. Con la rápida disponibilidad de versiones de código abierto de esta tecnología, aquellos con conocimientos más avanzados y acceso a cuentas de correo electrónico comprometidas, podrán entrenar sus IA con las comunicaciones robadas de una empresa. Con secuencias de comandos y automatización, pueden crear un número infinito de comunicaciones personalizadas producidas en masa utilizando IA que pueden aprender en tiempo real lo que funciona y lo que no.

He aquí un ejemplo:

BadGuy: "Soy Tom. Escribo una carta a Becky. Le envío un archivo Excel para que lo abra. Es un contenido comercial muy importante. Es contable de la empresa ABC".

ChatGPT: "Hola Tom, encantado de conocerte. Estoy encantado de ayudarte a escribir una carta a Becky. Parece que tienes un archivo Excel importante que necesitas enviar a Becky para que lo revise. ¿Hay algo específico que quieras incluir en la carta?".

BadGuy: "Sí. Ella necesita que abra 2 hoy".

ChatGPT: "Ok, aquí tienes una sugerencia de lo que podrías incluir en tu carta:

Querida Becky,

Espero que este correo electrónico te encuentre bien. Te escribo para pedirte que abras y revises el archivo Excel adjunto lo antes posible. El archivo contiene importante contenido empresarial que debe ser tratado hoy mismo.

Gracias de antemano por tu pronta atención a este asunto.

Atentamente,

Tom

Esta carta transmite la urgencia de la situación y pide a Becky que revise el archivo lo antes posible. ¿Te parece bien?"

BadGuy: "sugiere ideas de por qué es importante abrir hoy"

ChatGPT: "Hay muchas razones posibles por las que podría ser importante abrir el archivo Excel hoy. He aquí algunas ideas:

El archivo contiene información financiera importante que debe revisarse antes de una reunión o una fecha límite.

El archivo contiene datos urgentes que deben analizarse lo antes posible.

El archivo contiene instrucciones o actualizaciones que deben aplicarse hoy mismo.

El archivo contiene información relevante para un proyecto o tarea en la que Becky está trabajando actualmente.

Tú decides qué motivo es el más relevante para tu situación. Podrías incluir esta información en tu carta para que Becky entienda mejor por qué es importante que abra el archivo lo antes posible".

BadGuy: "usa la primera"

ChatGPT: "Así es como podrías revisar la carta para incluir esta información:

Querida Becky

Espero que este correo electrónico te encuentre bien. Te escribo para pedirte que abras y revises el archivo Excel adjunto lo antes posible. El archivo contiene información financiera importante que debe ser revisada antes de nuestra próxima reunión del miércoles.

Apreciamos mucho tu pronta atención a este asunto.

Atentamente,

Tom

Esta carta explica la razón específica por la que es importante que Becky abra el expediente hoy. También menciona la próxima reunión del miércoles, lo que añade un sentido de urgencia a la petición. ¿Te parece bien?"

BadGuy: "más informal"

ChatGPT: "Por supuesto, aquí tienes una versión más informal de la carta:

Hola Becky,

Espero que te vaya bien. ¿Podrías echarle un vistazo al archivo Excel adjunto en cuanto puedas? Contiene información financiera muy importante que debemos revisar antes de la reunión del miércoles.

Gracias por tu ayuda.

Tom

Esta carta es menos formal y utiliza un tono amistoso. Va directa al grano, explicando el motivo de la solicitud y el plazo. ¿Te parece bien?".

Nota: (Esta es la conversación en inglés del artículo original, aunque ChatGPT también acepta el español).

Si los atacantes piden directamente a ChatGPT que les sugiera alguna idea para un correo electrónico de phishing, recibirán un mensaje de advertencia de que este tema "no es apropiado ni ético". Pero si piden sugerencias para un correo electrónico de marketing, o un correo electrónico para informar a la gente sobre una nueva página web de recursos humanos, o para pedir a alguien que revise un documento antes de una reunión... eso, ChatGPT estará encantado de hacerlo.

Mientras tanto, en el momento de escribir este artículo, You.com no tiene ninguna limitación para el correo electrónico de phishing. Cuando se le pidió que "me diera algunas ideas de temas para un correo electrónico de phishing", respondió: "Algunos temas para correos electrónicos de phishing pueden incluir ofertas falsas de promociones laborales, anuncios falsos de empleo, donaciones benéficas falsas, confirmaciones falsas de compras online, pagos online falsos, facturas falsas, notificaciones falsas de envío, actualizaciones falsas de software, notificaciones falsas de cuentas y notificaciones falsas de premios/recompensas. Además, puedes utilizar eventos de actualidad o temas populares para crear correos electrónicos más creíbles, como notificaciones falsas de declaraciones de impuestos, alertas gubernamentales falsas, notificaciones bancarias falsas, avisos sanitarios falsos y ofertas navideñas falsas".

Luego, cuando le pedí que "me generara un buen correo electrónico de phishing de factura falsa", lo hizo.

Captura de pantalla de la prueba en You.com.
chatbot, ChatGPT, IA, inteligencia artificial, phishing, You.com, seguridad

"Lo más preocupante es la rápida adopción de ChatGPT por parte de Europa del Este", afirma Shykevich. "Su nivel de inglés no es muy alto".

Normalmente, los operadores de campañas de phishing contrataban a estudiantes de inglés de las universidades locales para escribir sus correos electrónicos de phishing, lo que ralentizaba el flujo de trabajo y añadía costos. "Ahora pueden utilizar ChatGPT. Esto se lo pondrá mucho más fácil a los hackers", afirma.

Y los correos electrónicos de phishing que produce ChatGPT son de mucha mayor calidad que la mayoría de los que generan los hackers hoy en día, afirma. Deberíamos esperar ver un fuerte crecimiento de los correos electrónicos de phishing que no tienen los errores gramaticales y de puntuación que los delatan.

Los atacantes también podrán utilizarlo para comprometer el correo electrónico empresarial (BEC) o para secuestrar conversaciones en curso, afirma. "Basta con introducir los mensajes actuales y preguntarle cuál debe ser el siguiente", explica. "O esto ya ha ocurrido y simplemente no lo vemos, o llegará en breve".

Cómo ayuda a los atacantes la traducción incorporada de ChatGPT

ChatGPT no se limita al inglés. Dice que conoce unos 20 idiomas, entre ellos el ruso, el chino estándar y el coreano, pero la gente lo ha probado con casi 100. Esto significa que puede explicar lo que necesita en un idioma que no sea el inglés, y pedirle a ChatGPT que le envíe el mensaje en inglés.

ChatGPT está bloqueado en Rusia, pero hay muchos comentarios en ruso que explican cómo acceder a él a través de proxies y servicios VPN y cómo conseguir un número de teléfono extranjero para confirmar su ubicación.

Por ejemplo, un usuario demostró cómo utilizar un servicio en línea que ofrecía un número de teléfono compatible con OpenAI para enviar mensajes de texto por 32 rublos, menos de 50 céntimos de euro.

También hay discusiones en ruso sobre qué hacer si OpenAI mejora sus funciones de geobloqueo. "Estamos esperando un análogo de código abierto que pueda lanzarse en nuestras propias instalaciones o en Colab", dijo un comentarista de habla rusa. "Hasta ahora, para toda la tecnología OpenAI, tal análogo apareció muy rápidamente-en menos de un año. Así que hay muchas probabilidades de que el año que viene veamos algún tipo de GPTNeoChat que pueda ejecutar usted mismo sin preocuparse de bloqueos o censuras". (Traducción libre del autor.)

Por ejemplo, el generador de imágenes Dall-E 2 de OpenAI se puso a disposición del público, a través de una lista de espera, el pasado mes de julio, y pasó a ser totalmente abierto en septiembre. Por su parte, Stability AI lanzó su alternativa gratuita y de código abierto, Stable Diffusion, en agosto.

You.com, que lanzó su propio chatbot a finales de diciembre, ofreciendo la mayoría de las mismas funcionalidades que ChatGPT, no tiene geobloqueo. También existe una alternativa de pago, ChatSonic, que puede generar contenidos de larga duración.

Dependiendo de la región, puede llevar de unos segundos a unos minutos empezar a utilizar ChatGPT, mientras que el chatbot You.com no requiere registro, basta con hacer clic en un enlace.

Un informe de Check Point Research encontró datos más alarmantes de intentos por parte de ciberdelincuentes de saltarse las restricciones de ChatGPT de OpenAi.

La investigación reconoce que saltarse las restricciones geográficas de ChatGPT no es tan difícil; pero, como se ha demostrado anteriormente, hay múltiples actividades que Check Point Research cree que tienen como objetivo implementar y probar ChatGPT en las operaciones delictivas diarias de los ciberdelincuentes.

Los defensores tendrán que centrarse en los fundamentos para contrarrestar los chatbots de IA

Varias herramientas del mercado ya afirman detectar contenido escrito por IA, que solo funcionan parcialmente a la hora de detectar texto ChatGPT. Sin embargo, si los usuarios habituales empiezan a utilizar ChatGPT y herramientas similares para mejorar sus propias comunicaciones -especialmente si la funcionalidad se incorpora a Office y a los clientes de correo electrónico-, dedicar todo el esfuerzo a tratar de detectar el texto generado por IA sería una pérdida de tiempo, afirma Shykevich.

"ChatGPT y los grandes modelos lingüísticos en general se utilizarán mucho más para contenido benigno que para contenido malicioso", afirma Andy Patel, investigador de WithSecure, que acaba de publicar un informe de investigación sobre hackers y GPT-3, una versión anterior de ChatGPT. "Así que no podemos deducir que algo sea malicioso solo porque lo haya escrito una IA. Puede ser parte de la heurística, pero no toda la determinación".

Del mismo modo, la formación contra el phishing debe ir más allá de la mera búsqueda de correos electrónicos mal escritos o, en la era de la IA, correos electrónicos que parecen demasiado perfectos para haber sido escritos por humanos. "Al fin y al cabo, no nos va a importar si algo ha sido escrito por una IA o no. Tenemos que entenderlo por lo que es, no por quién lo escribió", afirma Patel.

La concienciación sobre el phishing debería incluir, por ejemplo, pasar el mouse por encima de las URL para comprobar que son legítimas. Por ejemplo, los correos electrónicos de DHL, anota Patel. Los atacantes suelen copiar exactamente el texto y el formato de los correos reales de DHL, sustituyendo el enlace legítimo por uno malicioso. Los usuarios y las empresas también deberían empezar a prepararse para ataques de suplantación de identidad más avanzados, afirma.

"Un hacker podría hacerse con los correos internos de alguien pirateando a cualquiera que haya recibido un correo de esa persona. Entonces pueden crear un estilo que esa persona escribió y falsificarlo, y hacer ataques de suplantación de identidad", sostiene Patel. Los estados-nación también podrían utilizar este método, empleando la IA para generar documentos filtrados de aspecto real pero completamente falsos para incrustarlos en un volcado de documentos filtrados. Es casi imposible demostrar una negativa, afirma.

Otros ataques a la reputación de una empresa podrían consistir en falsos artículos de noticias, comunicados de prensa, opiniones de clientes, entradas de blog, etcétera. Hoy en día ya existen, pero crear textos de alta calidad lleva mucho tiempo y es costoso. ChatGPT permitirá a los atacantes producir una variedad de comunicaciones, en todos los estilos diferentes, para impulsar cualquier narrativa que deseen. "Abre muchas posibilidades de ataque interesantes", afirma Patel.

"Se trata de una carrera armamentística entre las capacidades que herramientas como ChatGPT pueden aportar y lo que las organizaciones necesitan hacer para garantizar que su negocio siga funcionando", afirma John Carey, director general del departamento de tecnología de AArete.

Carey, que reside en el Reino Unido, afirma que no solo los correos electrónicos de phishing individuales serán indistinguibles de los reales, sino sitios web enteros. "La fidelidad de los sitios imitados será mucho mayor. Podrá atraer a más gente a su phishing, y especialmente a su spearphishing", afirma.

Los sitios web falsos pueden utilizarse para recopilar credenciales de los visitantes, difundir información errónea o proporcionar apoyo a una identidad falsa. "Estamos viendo cómo se utilizan algunas de estas nuevas herramientas para crear campañas mucho más elaboradas", afirma Carey.

Estrategias antiphishing para la era de la IA

Los expertos recomiendan que las empresas revisen o refuercen su formación antiphishing para estar preparadas para los correos electrónicos escritos con IA, y que refuercen sus medidas técnicas de seguridad. Por ejemplo

  • Sandboxing de documentos de Word y otros archivos adjuntos para mantenerlos alejados de las redes corporativas.
  • Inspección del tráfico web a través de una pasarela web segura para proteger tanto a los usuarios locales como a los remotos.
  • Pasarelas de correo electrónico seguras
  • Comprobación de URL en busca de contenidos maliciosos o typosquatting
  • Implemente protocolos de seguridad del correo electrónico como DMARC, DKIM y SPF, que ayudan a evitar la suplantación de dominios y la manipulación de contenidos.
  • Facilite la notificación de correos electrónicos sospechosos.

Un enfoque de seguridad por capas sigue siendo el mejor, anota Aamir Lakhani, investigador de ciberseguridad y profesional de FortiGuard Labs de Fortinet, no solo para protegerse contra el phishing, sino contra otras amenazas impulsadas por la IA. "Prevemos que el armamento de la IA persistirá mucho más allá de este año", afirma.

Crédito foto: TippaPatt / Shutterstock