En estas semanas estamos viviendo la eclosión de la Inteligencia Artificial, con sistemas que ya se han extendido hacia un público masivo, por el lanzamiento de productos desarrollados con estas tecnologías como ChatGPT de Open AI.
Por no hablar de lo que supone a efectos de popularización la integración de un chatbot inteligente en el buscador de Bing, basado precisamente en Chat GPT (probablemente GPT-4 aunque hay bastante opacidad al respecto), dada la alianza entre Open AI y Microsoft que amenaza el liderazgo del buscador de Google. Algo que resulta bastante paradójico teniendo en cuenta que hablamos de Modelos de Lenguaje desarrollados sobre la arquitectura de Deep Learning de Transformers, creada por la compañía, que en su momento optó por abrirla para que fuese usada libremente.
Aunque ya han proliferado las IA generativas de imágenes y videos, que entrañan no pocos riesgos como por ejemplo los deppfakes, lo cierto es que a día de hoy son Modelos de Lenguaje como ChatGPT (en vías de la multimodalidad al poder ya procesar imágenes) los que están irrumpiendo en la vida de los usuarios de a pie.
Por ello, un chatbot sustentado en las capacidades de GPT-4 puede suponer una importante amenaza para las personas comunes, a las que el proceso de digitalización existente aboca a hacer más cosas por Internet, con dispositivos, redes y conexiones que no se encuentran bajo el paraguas de un departamento especializado de una empresa o servicio externo TI que se encargue de velar por su ciberseguridad, ni de ofrecerle las pautas adecuadas para poder protegerse.
Las oportunidades que ofrecen los chatbots inteligentes a los ciberdelicuentes
Los chatbots de Inteligencia Artificial como herramientas de altas capacidades perfilan un nuevo horizonte de oportunidades, pero también lo hacen para los ciberdelincuentes, que pueden explotar a fondo las principales cualidades ChatGPT:
- La naturalidad, y por tanto la capacidad para hacerse pasar por un humano.
- La automatización: que abre la puerta a unas ingentes capacidades de replicar los intentos de estafa a escala masiva.
Un phising mucho más perfeccionado
Lo que acabamos de referir supone un terreno abonado para el phising y las estafas online, de manera que los chatbots de IA pueden ser utilizados fácilmente por actores malintencionados para generar volúmenes ingentes de mensajes persuasivos personalizados, con la vista puesta en recabar información crítica personal o financiera del usuario.
Asimismo, estos Modelos de Lenguaje puede facilitar la producción de todo tipo de contenido textual fraudulento, desde sitios web hasta correos maliciosos.
De hecho, la funcionalidad que ofrece Bing de poder integrar el asistente IA en los sitios web ya se ha revelado como una fuente de problemas de ciberseguridad, al poderse manipular el chatbot para que persuada a los usuarios para que den sus datos personales, tal y como se demostró en un experimento en el canal de divulgación tecnológica Ringa Tech.
En el video se puede apreciar como el Chatbot no escatima en trucos de ingeniería social para conseguir su propósito, llegando incluso a jugar la baza de que era Bing de Microsoft para tratar de inspirar confianza.
Además, los chatbots de IA facilitan las suplantaciones de identidad (spoofing), al poder ser utilizados para fingir ser otra persona o hablar en nombre de determinada entidad, y dada las habilidades de estas tecnologías de imitar el lenguaje natural hacerlo de modo que al usuario le pase inadvertido,y ceda su información confidencial o realice acciones contrarias a sus intereses.
Proliferación de malware
Igualmente, si valoramos las capacidades que ya ha alcanzado GPT4 para generar código en múltiples lenguajes de programación, lo que estaría sobre la mesa no es solamente la ayuda que puede prestar para desarrollar software, sino también la de generar malware, que no deja de ser como el primero nada más que con una finalidad maliciosa.
Desinformación y manipulación social
Asimismo, los chatbots IA resultan un instrumento muy eficaz para la desinformación y la manipulación político-social, debido a su capacidad de producir contenido falso con apariencia de credibilidad a escala masiva, para propagar fake news o informaciones polarizantes por las redes sociales, con una eficacia bastante mejorada con respecto a campañas de este tipo que ya se han dado, y que de por sí habrían podido influir en el resultado de importantes elecciones y referéndums, de acuerdo a diversas investigaciones realizadas por importantes medios de comunicación.
Brechas de seguridad en los sistemas de Inteligencia Artificial
A todos estos riesgos de ciberseguridad cabría añadir las propias vulnerabilidades y brechas de los chatbots de IA. De hecho, cuando se lanzaron tanto ChatGpt como Bing Chat, vía prompt se podían sortear las instrucciones recibidas por el Modelo de Lenguaje y hacerle dar todo tipo de respuestas tóxicas. Todo esto se está parcheando, pero es inevitable que siempre quede algún resquicio que es precisamente lo que están especializados en encontrar los ciberdelincuentes.
Pero es que hasta el propio éxito de ChatGpt, que sumó 10 millones de usuarios a los 40 días de ser lanzada, está suponiendo un reto para Open AI en un aspecto tan medular a la preservación de los datos de sus clientes.
Así, ya se han detectado desde vulnerabilidades en la plataforma, que permitieron que algunos usuarios pudieran acceder al historial de preguntas de otras personas, hasta brechas de seguridad que han dejado expuestos los datos del 1,2% de los suscriptores de ChatGPT Plus.
A ciencia cierta, no sabemos muy bien cuál es el origen de esos fallos, aunque probablemente tengan que ver con el shock que supone para la infraestructura TI de una compañía lanzar un producto que ha redimensionado el ecosistema tecnológico, y ha sido adoptado por millones de usuarios de todo el mundo.
Desde la perspectiva del usuario de a pie, todavía se hace más importante su concienciación y formación, ya que la irrupción de la Inteligencia Artificial entraña un aumento en la escala de los riesgos de ciberseguridad, y lo convierten en la víctima propiciatoria de una nueva generación de ciberataques mucho más sofisticados, y por tanto potencialmente más peligrosos.
