En los últimos años, ha habido una expansión fenomenal en el uso de la inteligencia artificial (IA) generativa. Desde el lanzamiento de ChatGPT en noviembre de 2022, se desarrollaron y mejoraron varios productos de inteligencia artificial (IA) que cumplen una variedad de funciones. Por otro lado, ahora hemos llegado a un punto en el tiempo en el que se lanzó una nueva IA especialmente diseñada para aquellos que usan sombreros negros. Los ciberdelincuentes acaban de lanzar un programa llamado WormGPT. Esta herramienta es del tipo black-hat y tiene la capacidad de llevar a cabo una variedad de ataques de ingeniería social, así como Business Email Compromise (BEC). Esta herramienta no tiene restricciones sobre cómo se puede usar y no tiene límites. El compromiso de correo electrónico comercial, a menudo conocido como fraude de CEO o caza de ballenas, es un método para atacar a las empresas haciéndose pasar por altos ejecutivos o socios confiables a través de la comunicación electrónica.
Hay evidencia de que los actores de amenazas usan ChatGPT para redactar correos electrónicos BEC, según conversaciones que tuvieron lugar en un foro dedicado a la actividad cibercriminal. Estos correos electrónicos generados por IA pueden usarse para realizar este tipo de ataques por parte de piratas informáticos con un bajo nivel de competencia en otros idiomas también.
En un tema diferente, se discutieron los “Jailbreaks” para aplicaciones como ChatGPT. Estas son indicaciones que se han desarrollado cuidadosamente para obligar a ChatGPT a divulgar información confidencial que está fuera del alcance de su uso. Incluso puede entregar material inadecuado o desarrollar código peligroso. Se informó que WormGPT se creó específicamente como una alternativa blackhat a los GPT existentes, y esta información se descubrió en un sitio de discusión frecuentado por ciberdelincuentes. Hace uso de modelos de lenguaje GPTJ (Generative Pre-trained Transformer-J) y está equipado con una variedad de características y capacidades para formatear código. En una prueba que se llevó a cabo con WormGPT, el programa se dio a la tarea de generar un correo electrónico BEC con la intención de presionar a un administrador de cuentas para que pagara una factura falsa.
Debido a que es idéntico al ChatGPT estándar en todos los aspectos, incluida su capacidad para responder preguntas generales y legales, se recomienda enfáticamente que use la versión estándar en lugar de intentar obtener acceso a esta.
En principio, WormGPT podría usarse con buenos fines si se dieran las circunstancias adecuadas. Sin embargo, es esencial tener en cuenta que el software malicioso WormGPT fue desarrollado y distribuido con la intención de causar daño. Cualquier uso de la misma genera preocupaciones morales y podría poner a alguien en peligro legal.
El desarrollador de WormGPT también ha publicado fotografías que muestran cómo los usuarios pueden ordenar al bot que genere malware utilizando el código Python y solicitar orientación sobre cómo planificar ataques dañinos. Estas características se pueden ver en el sitio web de WormGPT. El desarrollador afirma que utilizó el GPT-J de código abierto que se incluyó en el modelo de lenguaje grande de 2021, que es una versión anterior del modelo de lenguaje grande. WormGPT se desarrolló después del entrenamiento del modelo, que incluyó el uso de datos relacionados con la creación de software malicioso.
En conclusión, el crecimiento de la IA da como resultado la introducción de nuevos y progresivos vectores de ataque, pero también tiene ciertas ventajas. Es imperativo que se implementen medidas preventivas estrictas. La siguiente es una lista de estrategias que puede emplear:
Para defenderse de los ataques BEC, especialmente aquellos que están habilitados por IA, las organizaciones deben desarrollar programas de capacitación que sean exhaustivos y que se actualicen con frecuencia. Los participantes en este curso deben obtener una mejor comprensión de la naturaleza de las amenazas BEC, cómo se puede usar la IA para exacerbar esos riesgos y las técnicas que usan los atacantes. Este tipo de formación también debe incluirse en el desarrollo profesional continuo de los trabajadores. Para protegerse contra los ataques de compromiso de correo electrónico empresarial impulsados por IA, las empresas deben implementar medidas estrictas de verificación de correo electrónico.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.