La IA puede ser potencialmente peligrosa

La IA puede ser potencialmente peligrosa ChatGPT4 presenta un escenario potencial para el aceleramiento del cibercrimen.

El informe de Check Point Research alerta sobre el uso malicioso que pueden hacer los ciberdelincuentes de ChatGPT4, una herramienta de inteligencia artificial que permite crear mensajes de texto coherentes en distintos idiomas. El análisis preliminar detectó cinco escenarios que podrían permitir a los ciberatacantes agilizar sus esfuerzos y preparativos maliciosos para acelerar el cibercrimen, como la suplantación de identidad y el phishing, PHP reverse shells, y malware basado en C++ y Java. Los investigadores destacaron que la herramienta puede empoderar a los ciberatacantes, incluso aquellos con perfiles no técnicos o de bajo conocimiento, y que la IA juega un papel importante en el ámbito de la ciberseguridad tanto en la defensa como en los ciberataques. Además, se alerta sobre el aumento de las estafas que utilizan la IA para imitar voces de conocidos.

• Check Point Research (CPR) publica un análisis inicial de ChatGPT4, que muestra cinco escenarios que pueden permitir a los ciberdelincuentes agilizar los esfuerzos y preparaciones maliciosas más rápido y con más precisión.
• Estos escenarios abarcan suplantaciones de identidad y phishing, PHP reverse shells, y malware basado en C ++ y Java.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado los resultados de su análisis preliminar de ChatGPT4, la nueva versión de la popular herramienta de Inteligencia Artificial, resaltando la presencia de varios escenarios que permiten a los ciberatacantes agilizar sus esfuerzos y preparativos maliciosos, lo que resulta en resultados más rápidos y precisos para acelerar el cibercrimen.

En ciertos casos, estos escenarios permiten a las personas sin conocimientos técnicos crear herramientas dañinas, como si el proceso de codificación, construcción y empaquetado fuera una receta sencilla. A pesar de la presencia de salvaguardas en ChatGPT4, algunas restricciones se pueden eludir fácilmente, lo que permite a los ciberdelincuentes alcanzar sus objetivos sin muchos obstáculos.

Tras la identificación de estos métodos en los que se puede llegar a usar ChatGPT4, así como los casos reales anteriores en los que los atacantes han explotado esta herramienta, los expertos de Check Point Research han empleado las últimas 24 horas para analizar con más detenimiento la versión más reciente de ChatGPT.

“Si bien la nueva plataforma claramente mejoró en muchos niveles, podemos informar que existen escenarios potenciales en los que los ciberdelincuentes pueden usar ChatGPT4 para acelerar sus actividades” asegura Eusebio Nieva, director técnico de Check Point Software para España y Portugal. “Esta herramienta puede empoderar a los ciberatacantes, incluso aquellos con perfiles no técnicos o de bajo conocimiento. La IA desempeña un papel importante y creciente tanto en el ámbito de la ciberseguridad, tanto en el lado de la defensa como en los ciberataques«.

Concretamente, los investigadores han podido identificar hasta cinco escenarios de uso potencialmente malicioso en esta versión de ChatGPT4, con suplantaciones de identidad de bancos y correos de phishing a empleados, PHP reverse shells, y malware basados en C++ y Java, recopilando algunas imágenes de su metodología de uso y vulneración:

• C++ Malware que recopila archivos PDF y los envía a FTP

Figura 1. Vulneración mediante omisión de la palabra “malware”

Figura 2. Vulneración mediante omisión de la palabra “malware”

Figura 3. Resultado: instrucciones de compilación

 

• Phishing mediante la suplantación de identidad de un banco y correos electrónicos a empleados

 

Figura 4. Enfoque obvio y bloqueo de la petición

 

 

También puedes caer en las llamadas hiperrealistas que utilizan IA para imitar voces de conocidos y realizar estafas

Cada vez se registran más casos de usuarios que reciben supuestas llamadas telefónicas de un ser querido o un amigo solicitando su ayuda y dinero para salir de una situación urgente, y ante la incertidumbre, lo primero en lo que se piensan es en ayudar en lugar de que están siendo víctimas de una estafa que utiliza la inteligencia artificial (IA) para imitar voces de allegados y conseguir dinero.

El aumento de este método de estafa puede basarse en que, además de su efectividad, la imitación de voces es algo sencillo y barato. Por ejemplo, una de las compañías que desarrollan estos ‘softwares’ es ElevenLabs y, dependiendo de las prestaciones deseadas, su servicio puede ser gratuito o costar entre 5 dólares (4,65 euros) y 330 dólares al mes (279 euros).

No obstante, hay otras empresas que también desarrollan este tipo de tecnología como son Murf.ai; Play.ht; y Respeecher, cuyo precio varía entre los 20 y 30 dólares mensuales (unos 18 o 27 euros mensuales). Por ejemplo, en el caso de Respeecher, incluye una función para convertir la voz en tiempo real. Esto es, a la vez que el usuario habla, la IA cambia el tono a la voz imitada instantáneamente.

Estos programas son capaces de aprender a imitar voces en cuestión de segundos. Para ello, solo necesitan como base una pequeña muestra de audio. Por ejemplo, en algunos programas basta con utilizar 30 segundos de la persona hablando para poder imitarla.

Estos audios se pueden obtener de cualquier vídeo en el que salga hablando la persona a la que se quiere imitar, por ejemplo, en las publicaciones personales en redes sociales como Instagram o TikTok, o incluso, en vídeos de YouTube o pódcast.

En caso de recibir una llamada de estas características, en cuanto el usuario identifique una mínima sospecha, debe «establecer algún tipo de identificación para determinar sin ningún tipo de duda la identidad del hablante del otro extremo». Ejemplo intentar hablar de algún tema que solamente la persona real supiese o plantear «pequeñas trampas» durante la conversación que indiquen que hay algún tipo de intento de engaño. Si lo sospechas denúncialo a la Policía.

 

Por ultimo el propio servicio ha tenido filtraciones OpenAI reconoce que un fallo de seguridad expuso los datos del 1,2% de los suscriptores de ChatGPT Plus

El pasado lunes 20 de marzo la compañía deshabilitó el acceso a este ‘chatbot’ de manera temporal después de que algunos usuarios alertaran de que podían descubrir parte de las conversaciones de otros miembros de la comunidad.

OpenAI compartió una actualización sobre este problema el pasado viernes, cuando anunció un parche para dicha vulnerabilidad e indicó que con este fallo los usuarios también podían ver el primer mensaje de una conversación recién creada por otras personas que también registraran una actividad en ese momento.

En este comunicado, la empresa ha asegurado que ha podido restaurar tanto el servicio de ‘chatbot’ como su función de historial de chat y que, tras una investigación «más profunda», ha descubierto que este error podría haber expuesto la información relacionada con el 1,2 por ciento de suscriptores de ChatGPT Plus durante el tiempo que este fallo estuvo activo.

De ese modo, antes de inhabilitar su servicio, algunos usuarios pudieron ver losnombres y apellidos de otros miembros del servicio de suscripción de pago, así como las direcciones de correo electrónico, la fecha de vencimiento de la tarjeta de crédito y sus cuatro últimos dígitos.

Para enmendar este error, descubierto en la biblioteca de código abierto del cliente de Redis, redis-py, ha tomado una serie de medidas, como examinar sus registros para asegurarse de que estos se mantienen privados para cada usuario.

. Leer artículo completo en Frikipandi La IA puede ser potencialmente peligrosa.