A menos que haya estado en un retiro en algún lugar remoto sin acceso a Internet durante los últimos meses, es probable que esté al tanto de la exageración y el miedo que ha habido. ChatGPT, el chatbot de inteligencia artificial (IA) desarrollado por OpenAI. Tal vez hayas visto artículos sobre académica y maestros preocupándose de que hará que hacer trampa sea más fácil que nunca. En el otro lado de la moneda, es posible que haya visto los artículos que evangelizan todos los ChatGPT aplicaciones potenciales.
Alternativamente, es posible que le hayan hecho cosquillas algunos de los ejemplos más esotéricos de personas que usan la herramienta. Un usuario, por ejemplo, consiguió que escribiera una guía de instrucciones para sacar sándwiches de mantequilla de maní de una VCR en el estilo de la Biblia King James. Otro le pidió que escribiera una canción al estilo de Nick Cave; el cantante era menos que entusiasmado sobre los resultados
Pero en medio de toda esa exageración y discusión, no se ha prestado suficiente atención a los riesgos y recompensas que las herramientas de IA como ChatGPT presentan en el campo de la ciberseguridad.
Comprender ChatGPT
Para tener una idea más clara de cómo son esos riesgos y recompensas, es importante comprender mejor qué es ChatGPT y de lo que es capaz.
ChatGPT (ahora en su última versión, ChatGPT-4, lanzada el 14 de marzo de 2023) es parte de una familia más grande de herramientas de inteligencia artificial desarrollada por la empresa estadounidense OpenAI. Si bien se llama oficialmente chatbot, eso no cubre su versatilidad. Entrenado usando ambos supervisado y reforzamiento técnicas de aprendizaje, puede hacer mucho más que la mayoría de los chatbots. Como parte de sus respuestas, puede generar contenido a partir de toda la información con la que fue capacitado. Esa información incluye conocimientos generales, así como lenguajes de programación y código. Como resultado, puede, por ejemplo, simule una sala de chat completa; jugar juegos como tic-tac-toe; y simular un cajero automático.
Más importante aún, para las empresas y otras grandes organizaciones, puede ayudar a mejorar el servicio al cliente de las empresas a través de mensajes más personalizados y precisos. Incluso puede escribir y depurar programas de computadora. Algunas de esas y otras características significan que podría ser tanto un aliado de ciberseguridad como una amenaza.
Educación, filtrado y refuerzo de las defensas
En el frente positivo, hay mucho que decir sobre ChatGPT. Uno de los roles más valiosos que podría desempeñar es también uno de los más simples: detectar el phishing. Las organizaciones podrían arraigar un hábito en sus empleados mediante el cual usan ChatGPT para determinar si algún contenido del que no están seguros es phishing o si se generó con intenciones maliciosas.
Eso es importante porque, a pesar de todos los avances tecnológicos realizados en los últimos años, los ataques de ingeniería social como el phishing siguen siendo una de las formas más efectivas de ciberdelincuencia. De hecho, la investigación muestra que, de los ataques cibernéticos identificados con éxito en el Reino Unido en 2022, 83% involucrado alguna forma de phishing.
Por supuesto, hay muchas otras maneras que ChatGPT se puede utilizar para reforzar los esfuerzos de ciberseguridad. Podría, por ejemplo, brindar un grado de asistencia a los trabajadores de seguridad más jóvenes, ya sea comunicando cualquier problema que puedan tener o ayudándolos a comprender mejor el contexto en el que deben trabajar en un momento dado. También podría ayudar a los equipos con recursos insuficientes a curar las últimas amenazas e identificar vulnerabilidades internas.
Los malos también lo están usando.
Pero mientras los profesionales de la ciberseguridad exploran formas de usar ChatGPT en su beneficio, los ciberdelincuentes también lo hacen. Podrían, por ejemplo, hacer uso de su capacidad para generar código malicioso. Alternativamente, podrían usarlo para generar contenido que parece ser generado por humanos, potencialmente utilizado para engañar a los usuarios para que hagan clic en enlaces maliciosos, lo que sin saberlo tiene consecuencias peligrosas.
Algunos incluso están usando ChatGPT para imitar convincentemente asistentes legítimos de IA en sitios web corporativos, abriendo una nueva vía en el frente de batalla de la ingeniería social. Recuerde, el éxito de los ciberdelincuentes depende en gran medida de poder atacar tantas vulnerabilidades posibles, con la mayor frecuencia y rapidez posible. Las herramientas de IA como ChatGPT les permiten hacer eso actuando esencialmente como un asistente supercargado que puede ayudar a crear todos los activos necesarios para campañas maliciosas.
Usa las herramientas disponibles
Debe quedar claro entonces que, si los ciberdelincuentes usan ChatGPT y otras herramientas de IA para mejorar sus ataques, su equipo de seguridad también debería usarlas para reforzar sus esfuerzos de ciberseguridad. Afortunadamente, no tienes que hacerlo solo.
El proveedor de seguridad adecuado no solo se involucrará en una investigación constante sobre cómo los ciberdelincuentes usan las últimas tecnologías para mejorar sus ataques, sino también cómo se pueden usar esas tecnologías para mejorar la detección, prevención y defensa de amenazas. Y con el daño que un ataque de seguridad cibernética puede causar a su infraestructura crítica, es algo que también deberían informarle de manera proactiva.
ChatGPT-4
Con la última versión de ChatGPT (ChatGPT-4), OpenAI ha puesto a disposición el último y más poderoso modelo conversacional, y también ha introducido más controles para evitar su mal uso. Le preguntamos a ChatGPT “¿Qué podría evitar que los actores maliciosos usen ChatGPT con intenciones maliciosas?y esta fue la respuesta:
“Existen varias medidas que podrían evitar que los actores maliciosos usen ChatGPT con intenciones maliciosas:
1. Controles de acceso: OpenAl, la organización detrás de ChatGPT, ha implementado controles de acceso para limitar quién puede acceder a su API y usar su tecnología. Al restringir el acceso, pueden evitar que los actores maliciosos utilicen su tecnología con fines maliciosos.
2. Monitoreo y detección: OpenAl monitorea el uso de su tecnología para detectar y prevenir actividades maliciosas. Utilizan modelos de aprendizaje automático para identificar patrones y anomalías en el uso que podrían indicar un posible mal uso.
3. Pautas éticas: OpenAl ha publicado pautas para el uso responsable de su tecnología, que describen las mejores prácticas y consideraciones éticas. Al seguir estas pautas, los usuarios pueden asegurarse de que están utilizando la tecnología de manera responsable y ética.
4. Educación del usuario: la educación y la concientización pueden ayudar a prevenir el mal uso de la tecnología.
OpenAl proporciona recursos y materiales educativos para ayudar a los usuarios a comprender las capacidades y limitaciones de su tecnología, así como los posibles riesgos de uso indebido.
5. Consecuencias legales: existen consecuencias legales por el uso de tecnología como chatGPT con fines maliciosos. Los gobiernos y los organismos encargados de hacer cumplir la ley cuentan con leyes y reglamentos para castigar a las personas y organizaciones que utilizan la tecnología para actividades ilegales.
En general, evitar que los actores maliciosos usen ChatGPT con intenciones maliciosas requiere una combinación de controles técnicos, pautas éticas, educación del usuario y consecuencias legales. Es importante usar modelos de lenguaje Al como ChatGPT de manera responsable y ética para evitar que la tecnología se use indebidamente con fines dañinos”.
Entonces ChatGPT siguió adelante y enumeró todas las medidas que OpenAI ha tomado para evitar su uso indebido.
OpenAI, en el blog de lanzamiento de ChatGPT-4Explicó cómo este modelo es supuestamente más seguro que sus antecesores: “Pasamos 6 meses haciendo que GPT-4 sea más seguro y más alineado. GPT-4 tiene un 82 % menos de probabilidades de responder a solicitudes de contenido no permitido y un 40 % más de probabilidades de producir respuestas fácticas que GPT-3.5 en nuestras evaluaciones internas”.
Todo esto indica que se siguen mejorando las medidas adecuadas para evitar su mal uso, pero como todos sabemos, los malos seguirán encontrando formas de superar esas limitaciones a medida que el modelo sea más utilizado y comprendido.
¿Quiere aprender más sobre IA y big data de los líderes de la industria? Verificar Exposición de IA y Big Data teniendo lugar en Ámsterdam, California y Londres. El evento es co-ubicado con Exposición de seguridad cibernética y nube.
Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí.
Fuente: El riesgo y la recompensa de ChatGPT en ciberseguridad