La IA generativa ha revolucionado casi todos los aspectos de la vida diaria en un tiempo relativamente corto. Sin embargo, un efecto secundario desafortunado de este auge en la corriente principal es el aumento de estafas de phishing que utilizan esta tecnología. Un nuevo informe de la empresa de ciberseguridad SlashNext dice que los correos electrónicos de phishing han aumentado un 1265 % desde el lanzamiento de ChatGPT.
Además del desarrollo de herramientas de inteligencia artificial que generan malware como WormGPT, Dark Bart y FraudGPT, que se están propagando en la web oscura, los ciberdelincuentes también están encontrando nuevas formas de hacer jailbreak al chatbot de inteligencia artificial insignia de OpenAI.
“Cuando ChatGPT se lanzó en febrero, vimos un aumento dramático en la cantidad de ataques de phishing, obviamente impulsados en parte, en general, por ataques generales debido al éxito”, dijo el CEO de SlashNext, Patrick Harr. Descifrar.
Los ataques de phishing se refieren a un ciberataque que se presenta en forma de correo electrónico, texto o mensaje en las redes sociales que parece provenir de una fuente confiable. Los ataques de phishing también pueden diseñarse para dirigir a las víctimas a sitios web maliciosos que las engañan para que firmen transacciones con su billetera criptográfica que luego agotan sus fondos.
Según el informe de SlashNext, en el último trimestre de 2022 se enviaron 31.000 ataques de phishing diarios, lo que ya representó un aumento del 967% en el phishing de credenciales. El 68% de todos los ataques de phishing, afirmó SlashNext, son ataques de correo electrónico empresarial (BEC) basados en texto, y el 39% de todos los ataques basados en dispositivos móviles se realizaron mediante ataques de phishing (smishing) por SMS.
“Si bien ha habido cierto debate sobre la verdadera influencia de la IA generativa en la actividad cibercriminal, sabemos por nuestra investigación que los actores de amenazas están aprovechando herramientas como ChatGPT para ayudar a escribir correos electrónicos comerciales sofisticados y específicos y otros mensajes de phishing”, dijo Harr.
“En esencia, estos son ataques basados en enlaces que intentan que usted entregue sus credenciales, nombre de usuario y contraseña”, agregó Harr, señalando que los ataques de phishing también pueden llevar a la instalación de ransomware más persistente. “El ataque a Colonial Pipeline fue un ataque de phishing de credenciales, [the attackers] Pudimos obtener acceso al nombre de usuario y contraseña de un usuario”.
A medida que los ciberdelincuentes utilizan la IA generativa para atacar a las víctimas, Harr dijo que los profesionales de la ciberseguridad deberían pasar a la ofensiva y luchar contra la IA con IA.
“Estas empresas tienen que incorporar [AI] directamente en sus programas de seguridad para que [the AI] busca constantemente en todos sus canales de mensajería para eliminar estos [threats],” él dijo. “Es exactamente por eso que utilizamos IA generativa en nuestros propios conjuntos de herramientas para detectar y no solo bloquear, sino que también la usamos para predecir cómo sucederá el siguiente”.
Pero si bien Harr es optimista sobre la capacidad de la IA para atrapar a las IA deshonestas en el acto, reconoce que se necesitará algo más que decirle a ChatGPT que esté atento a las amenazas cibernéticas.
“Debe tener el equivalente a una aplicación privada de modelo de lenguaje grande encima de eso, que esté sintonizada para buscar amenazas nefastas”, dijo.
Si bien los desarrolladores de inteligencia artificial como OpenAI, Anthropic y Midjourney han trabajado arduamente para incluir barreras protectoras contra el uso de sus plataformas con fines nefastos como ataques de phishing y difusión de información errónea, los usuarios expertos se han comprometido a eludirlas.
La semana pasada, RAND Corporation publicó un informe que sugería que los terroristas podrían aprender a llevar a cabo un ataque biológico utilizando chatbots de IA generativa. Si bien el chatbot no explicaba cómo construir el arma, al utilizar indicaciones de jailbreak, se podía hacer que el chatbot explicara cómo se debía llevar a cabo el ataque.
Los investigadores también han descubierto que al utilizar idiomas menos probados, como el zulú y el gaélico, podrían piratear ChatGPT y hacer que el chatbot les explique cómo salirse con la suya robando una tienda.
En septiembre, OpenAI lanzó una convocatoria abierta a profesionales de ciberseguridad ofensiva, también conocidos como Red Teams, para ayudar a encontrar agujeros de seguridad en sus modelos de IA.
“Las empresas tienen que repensar sus posturas de seguridad”, concluyó Harr. “Necesitan utilizar herramientas generativas basadas en inteligencia artificial para detectar y responder a estas cosas o, lo que es más importante, no solo responder para detectar, bloquear y detener antes de actuar”.