Inteligencia Artificial y cibercrimen: Las 5 maneras en las que se unen para crear ataques
La Inteligencia Artificial (IA) ha llegado para revolucionar múltiples disciplinas y se ha convertido en una herramienta indispensable. Sin embargo, lamentablemente, también es utilizada por el cibercrimen de diversas maneras para llevar a cabo ataques y acciones maliciosas. ESET, compañía líder en detección proactiva de amenazas, alerta sobre las cinco formas en que la IA se está empleando para robar información sensible y obtener beneficios económicos.
«En febrero de 2023, desde ESET ya advertíamos sobre el uso malicioso que el cibercrimen podría darle a una herramienta tan poderosa como la Inteligencia Artificial. Menos de un año y medio después, ya podemos observar las implicaciones de estas advertencias, con actores maliciosos utilizando la IA para expandir y mejorar sus tácticas y estrategias de ataque. Un ejemplo de esto es WormGPT, una herramienta que, aunque ya ha sido descontinuada por sus creadores, se ofrecía exclusivamente a cibercriminales en foros clandestinos. WormGPT tenía las mismas capacidades que ChatGPT, pero sin ninguna barrera ética», comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Perfeccionar la suplantación de identidad
Según los investigadores de seguridad de IA en ETH Zurich, el auge de ChatGPT ha traído consigo un incremento significativo de correos de phishing. La IA generativa se ha convertido en una herramienta valiosa para diseñar engaños que persuaden a las personas a revelar información sensible, ya sea para obtener beneficios económicos o para realizar otras acciones maliciosas. Además, la IA no solo ayuda a crear contenidos más convincentes, sino que también facilita la traducción de mensajes y mejora la comunicación entre diferentes grupos cibercriminales alrededor del mundo.
Servicios como GoMail Pro, que integra ChatGPT, permiten a los atacantes mejorar el contenido de los mensajes que envían a sus víctimas. Aunque OpenAI intenta limitar el uso de sus productos para actividades ilegales, es difícil detectarlo y controlarlo. A principios de este año, OpenAI cerró cinco cuentas asociadas al cibercrimen.
Optimizar el doxing
El doxing, o doxxing, es la práctica de publicar información personal de terceros con la intención de intimidar, extorsionar o perjudicar de algún modo. Esta práctica se consolidó en 2020 como parte de los ataques de ransomware, donde los atacantes no solo secuestran archivos, sino que también roban información para presionar a las organizaciones, amenazando con publicarla si no se paga el rescate.
Actualmente, la IA, entrenada con vastos datos de Internet, incluidos datos personales, puede deducir la ubicación de una persona. Cuanta más información haya en línea sobre un usuario, más vulnerable es a estas prácticas. Mislav Balunović, un investigador de seguridad, descubrió junto a su equipo que GPT-4 puede inferir información sensible de una persona, como su origen étnico o ubicación, simplemente a través de conversaciones con un chatbot. Por ello, ESET recomienda siempre pensar dos veces antes de compartir información y contenidos en línea.
Hacer más realistas las estafas por audio y deepfake
La IA generativa ha evolucionado hasta el punto de que es difícil discernir entre una imagen real y una creada por IA. Un ejemplo es la estafa donde un empleado perdió 24 millones de dólares tras una reunión con alguien que creía ser el director financiero de la compañía, quien le solicitó una transferencia de ese monto.
Otra vertiente son las estafas por audio. Con solo unos segundos de grabación de la voz de una persona, obtenida de videos en Instagram o TikTok, por ejemplo, se puede crear un audio muy convincente.
Esquivar controles de identidad
En la misma línea que los deepfakes, los cibercriminales han encontrado formas de evadir controles de identidad que verifican a una persona mediante una imagen, usando Inteligencia Artificial. Utilizando un documento de identificación falso o robado, superponen esa imagen sobre el rostro real, similar a un filtro de Instagram, para engañar al sistema. Aunque esta práctica está en un estado básico, podría seguir mejorando y expandiéndose.
Ofrecer jailbreak como servicio
Las empresas detrás de herramientas de inteligencia artificial implementan varias protecciones para que sus modelos no generen información peligrosa. Sin embargo, los cibercriminales están optando por contratar servicios de jailbreak en lugar de construir sus propios modelos de IA, lo que requeriría más tiempo y dinero. Estos servicios permiten modificar el sistema de IA para generar respuestas que crean contenido malicioso, como correos de phishing o código para ransomware, eludiendo las limitaciones de las herramientas originales.
«La tecnología no es intrínsecamente buena ni mala, y esto aplica también a la Inteligencia Artificial: todo depende de las intenciones con que se utilice. Por ejemplo, ChatGPT se usa también para analizar malware y tiene un impacto positivo en la educación y la medicina. No obstante, es inevitable hablar del mal uso de estos avances tecnológicos en manos equivocadas. Conocer las estrategias y tácticas de los cibercriminales es el primer paso para no convertirse en una víctima de sus estafas y engaños», concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.