La inteligencia artificial ha demostrado en los últimos tiempos ser capaz de ayudarnos a generar contenidos (escritos o visuales) cada vez más realistas y ajustados a nuestras demandas. Y son capaces de hacer esto con independencia de si nuestras demandas son más o menos éticas.
Así, por ejemplo, hay modelos de lenguaje (LLM) que, como en el caso de GPT-4, cuentan con políticas de contenido restringidas, para dificultar su uso con fines cuestionables... y aun así, sus salvaguardas no siempre son suficientes.
En otros casos, existen modelos igualmente generalistas que, sin embargo, al carecer de sistemas de autocensura, no resulta muy difícil de usar con objetivos poco éticos. Este sería el caso de algunas de las variantes de Mixtral.
Y por último, contamos con LLMs desarrollados de forma específica no sólo para carecer de limitaciones éticas, sino para ser especialmente eficaces en la realización de ciberdelitos.
Y aquí es donde entran WormGPT y FraudGPT, dos herramientas maliciosas disponibles en la Dark Web que están generando preocupación en el mundo de la ciberseguridad.
WormGPT: Basado en el modelo open source GPT-J (lanzado en 2021 por EleutherAI), esta IA se ha convertido en una pesadilla para la ciberseguridad. Su carencia de restricciones éticas, significa que puede responder a preguntas relacionadas con actividades ilegales sin ningún tipo de censura.
Sus usos van desde la creación de malware con Python hasta la redacción de correos electrónicos de phishing convincentes. Para adquirir este modelo, los ciberdelincuentes deben desembolsar entre 60 y 100 euros al mes o 550 euros al año, aunque la versión más reciente de WormGPT (la v2) llega a costar hasta 5.000 euros.
FraudGPT: FraudGPT, lanzado en julio de 2023, se presenta como una modelo tan potente como las últimas versiones del GPT de OpenAI, pero sin las restricciones de las mismas, por lo que es capaz de crear malware indetectable, de crear webs de phishing y aprender a hackear. Al igual que WormGPT, opera bajo un modelo de suscripción que comienza en los 200 dólares mensuales y alcanza tarifas de hasta 1.700 dólares al año.
El siguiente vídeo se distribuye entre los potenciales compradores (es decir, entre ciberestafadores) para mostrar las capacidades de FraudGPT:
Lo que va a cambiar
Las empresas de ciberseguridad advierten sobre la sofisticación de estos modelos, que permiten a los ciberdelincuentes llevar a cabo ataques más efectivos y difíciles de detectar. Si la existencia de errores gramaticales o de sintaxis en los mensajes que recibimos en nombre de Hacienda o de nuestro banco han sido una tradicional señal de alarma, ahora será una con la que ya no podremos contar...
...la IA ha logrado que las ciberestafas estén perfectamente puedan estar, a partir de ahora, perfectamente redactadas (aunque sus creadores tienen buenas razones para no pasarse en ese sentido).
Lo cierto, en cualquier caso, es que vamos hacia un futuro en el que tareas como la creación de campañas de phishing "indetectables", la ejecución de ciberataques o la manipulación de la opinión pública están a unos pocos clics de nosotros.
Y todo ello, abriendo la posibilidad de que el contenido de un único ciberestafador, aun con conocimientos lingüísticos limitados, pueda impactar en usuarios de todo el planeta, gracias a utilidad de la IA como herramienta de traducción.
Pero la clave no está sólo en su utilidad para globalizar las campañas de fraude, sino sobre todo a la hora de personalizarlas para cada usuario. Según Jesse Barbour, científico jefe de datos en Q2:
"La aplicación exitosa de tales técnicas requiere un conocimiento profundo de la estructura organizacional de la empresa objetivo para que el defraudador sepa qué palancas utilizar para un individuo determinado. Los LLM se destacan por sintetizar grandes cantidades de este tipo de información en narrativas estructuradas y efectivas. Imagine un mensaje con la siguiente estructura: 'Dado el organigrama A, diseñe un plan para influir en el empleado B para que tome la acción C'".
Imagen | Marcos Merino mediante IA
Ver 2 comentarios