Los nuevos riesgos que plantea ChatGPT para la ciberseguridad
Por Jim Chilton
Ciberseguridad y privacidad digital
Harvard Business Review
#Doxa #riesgo #ciberseguridad #ChatGPT #digital #TI #USA #pirata #informático #phishing #codigo #capacitación #herramienta #política #gobierno
Resumen. El Informe sobre delitos en Internet de 2021 del FBI descubrió que el phishing es la amenaza de TI más común en Estados Unidos. Desde la perspectiva de un pirata informático, ChatGPT cambia las reglas del juego, ya que brinda a los piratas informáticos de todo el mundo casi fluidez en inglés para reforzar sus campañas de phishing. Los malos actores también pueden engañar a la IA para que genere código de piratería. Y, por supuesto, existe la posibilidad de que ChatGPT sea pirateado, diseminando información errónea y propaganda política peligrosas. Este artículo examina estos nuevos riesgos, explora la capacitación y las herramientas necesarias para que los profesionales de la seguridad cibernética respondan, y pide la supervisión del gobierno para garantizar que el uso de la IA no se vuelva perjudicial para los esfuerzos de seguridad cibernética.
Cuando OpenAI lanzó su revolucionario modelo de lenguaje de IA ChatGPT en noviembre, millones de usuarios quedaron anonadados por sus capacidades. Para muchos, sin embargo, la curiosidad rápidamente dio paso a una ferviente preocupación por el potencial de la herramienta para promover las agendas de los malos actores. Específicamente, ChatGPT abre nuevas vías para que los piratas informáticos puedan violar el software de ciberseguridad avanzado. Para un sector que ya se está recuperando de un aumento global del 38 % en las violaciones de datos en 2022, es fundamental que los líderes reconozcan el impacto creciente de la IA y actúen en consecuencia.
Antes de que podamos formular soluciones, debemos identificar las amenazas clave que surgen del uso generalizado de ChatGPT. Este artículo examinará estos nuevos riesgos, explorará la capacitación y las herramientas necesarias para que los profesionales de la seguridad cibernética respondan, y solicitará la supervisión del gobierno para garantizar que el uso de la IA no se vuelva perjudicial para los esfuerzos de seguridad cibernética.
Estafas de phishing generadas por IA
Si bien las versiones más primitivas de la IA basada en el lenguaje han sido de código abierto (o están disponibles para el público en general) durante años, ChatGPT es, de lejos, la iteración más avanzada hasta la fecha. En particular, la capacidad de ChatGPT para conversar sin problemas con los usuarios sin errores ortográficos, gramaticales y de tiempo verbal hace que parezca que podría haber una persona real al otro lado de la ventana de chat. Desde la perspectiva de un hacker, ChatGPT cambia las reglas del juego.
El Informe sobre delitos en Internet de 2021 del FBI descubrió que el phishing es la amenaza de TI más común en Estados Unidos. Sin embargo, la mayoría de las estafas de phishing son fácilmente reconocibles, ya que a menudo están plagadas de faltas de ortografía, mala gramática y, en general, frases incómodas, especialmente aquellas que se originan en otros países donde el primer idioma del malhechor no es el inglés. ChatGPT permitirá a los piratas informáticos de todo el mundo dominar el inglés casi con fluidez para reforzar sus campañas de phishing.
Para los líderes de ciberseguridad, un aumento en los ataques de phishing sofisticados requiere atención inmediata y soluciones procesables. Los líderes deben equipar a sus equipos de TI con herramientas que puedan determinar lo que genera ChatGPT frente a lo que genera el ser humano, orientado específicamente a los correos electrónicos "fríos" entrantes. Afortunadamente, la tecnología "ChatGPT Detector" ya existe, y es probable que avance junto con ChatGPT. Idealmente, la infraestructura de TI integraría el software de detección de IA, filtrando y marcando automáticamente los correos electrónicos generados por IA. Además, es importante que todos los empleados se capaciten y vuelvan a capacitar de manera rutinaria sobre las últimas habilidades de prevención y concientización sobre seguridad cibernética, con especial atención a las estafas de phishing respaldadas por IA. Sin embargo, la responsabilidad recae tanto en el sector como en el público en general para continuar abogando por herramientas de detección avanzadas, en lugar de solo adular las capacidades en expansión de la IA.
Duping ChatGPT para escribir código malicioso
ChatGPT es competente en la generación de código y otras herramientas de programación informática, pero la IA está programada para no generar código que considere malicioso o destinado a la piratería. Si se solicita un código de piratería, ChatGPT informará al usuario que su propósito es "ayudar con tareas útiles y éticas mientras se adhiere a las pautas y políticas éticas".
Sin embargo, la manipulación de ChatGPT es sin duda posible y con suficiente empuje creativo, los malos actores pueden engañar a la IA para que genere código de piratería. De hecho, los piratas informáticos ya están tramando este fin.
Por ejemplo, la firma de seguridad israelí Check Point descubrió recientemente un hilo en un conocido foro clandestino de piratería de un pirata informático que afirmaba estar probando el chatbot para recrear cepas de malware. Si ya se ha descubierto uno de esos hilos, es seguro decir que hay muchos más en todo el mundo y en las webs "oscuras". Los profesionales de la ciberseguridad necesitan la capacitación adecuada (es decir, la mejora continua) y los recursos para responder a las amenazas cada vez mayores, generadas por IA o de otro tipo.
También existe la oportunidad de equipar a los profesionales de la ciberseguridad con su propia tecnología de IA para detectar y defenderse mejor contra el código de piratas informáticos generado por IA. Si bien el discurso público es el primero en lamentar el poder que ChatGPT brinda a los malos actores, es importante recordar que este mismo poder está igualmente disponible para los buenos actores. Además de tratar de prevenir las amenazas relacionadas con ChatGPT, la capacitación en seguridad cibernética también debe incluir instrucciones sobre cómo ChatGPT puede ser una herramienta importante en el arsenal de los profesionales de seguridad cibernética. Dado que esta rápida evolución tecnológica crea una nueva era de amenazas a la seguridad cibernética, debemos examinar estas posibilidades y crear nueva capacitación para mantenernos al día. Además,
Regulación del uso y las capacidades de la IA
Si bien existe una discusión significativa sobre los malos actores que aprovechan la IA para ayudar a piratear software externo, lo que rara vez se discute es el potencial de que ChatGPT sea pirateado. A partir de ahí, los malos actores podrían difundir información errónea de una fuente que generalmente se considera imparcial y está diseñada para serlo.
Según los informes, ChatGPT ha tomado medidas para identificar y evitar responder preguntas políticamente cargadas. Sin embargo, si la IA fuera pirateada y manipulada para proporcionar información que aparentemente es objetiva pero que en realidad es información sesgada bien encubierta o una perspectiva distorsionada, entonces la IA podría convertirse en una peligrosa máquina de propaganda. La capacidad de un ChatGPT comprometido para difundir información errónea podría volverse preocupante y puede requerir la necesidad de una supervisión gubernamental mejorada para herramientas avanzadas de IA y empresas como OpenAI.
La administración de Biden ha publicado un " Plan para una Declaración de derechos de IA ", pero hay más en juego que nunca con el lanzamiento de ChatGPT. Para ampliar esto, necesitamos supervisión para garantizar que OpenAI y otras empresas que lanzan productos de IA generativa revisen regularmente sus características de seguridad para reducir el riesgo de que sean pirateados. Además, los nuevos modelos de IA deberían requerir un umbral de medidas mínimas de seguridad antes de que una IA sea de código abierto. Por ejemplo, Bing lanzó su propia IA generativa a principios de marzo y Meta está finalizando una poderosa herramienta propia, con más provenientes de otros gigantes tecnológicos.
Mientras la gente se maravilla (y los profesionales de la ciberseguridad reflexionan) sobre el potencial de ChatGPT y el mercado emergente de IA generativa, los controles y equilibrios son esenciales para garantizar que la tecnología no se vuelva difícil de manejar. Más allá de que los líderes de seguridad cibernética vuelvan a capacitar y reequipar a sus trabajadores, y que el gobierno asuma un papel regulador más importante, se requiere un cambio general en nuestra mentalidad y actitud hacia la IA.
Debemos volver a imaginar cómo se ve la base fundamental para la IA, especialmente los ejemplos de código abierto como ChatGPT. Antes de que una herramienta esté disponible para el público, los desarrolladores deben preguntarse si sus capacidades son éticas. ¿Tiene la nueva herramienta un "núcleo programático" fundamental que realmente prohíba la manipulación? ¿Cómo establecemos estándares que requieran esto y cómo responsabilizamos a los desarrolladores por no cumplir con esos estándares? Las organizaciones han instituido estándares agnósticos para garantizar que los intercambios entre diferentes tecnologías, desde edtech hasta blockchains e incluso billeteras digitales, sean seguros y éticos. Es fundamental que apliquemos los mismos principios a la IA generativa.
El chat de ChatGPT está en su punto más alto y, a medida que avanza la tecnología, es imperativo que los líderes tecnológicos comiencen a pensar en lo que significa para su equipo, su empresa y la sociedad en general. De lo contrario, no solo se quedarán atrás de sus competidores en la adopción e implementación de IA generativa para mejorar los resultados comerciales, sino que tampoco podrán anticipar y defenderse de los piratas informáticos de próxima generación que ya pueden manipular esta tecnología para beneficio personal. Con la reputación y los ingresos en juego, la industria debe unirse para contar con las protecciones adecuadas y hacer que la revolución de ChatGPT sea algo para recibir, no para temer.
Lea más sobre Ciberseguridad y privacidad digital o un tema relacionado IA y aprendizaje automático
Jim Chilton se desempeña como CTO de Cengage Group, una empresa global de tecnología educativa. Actualmente también se desempeña como Gerente General interino para el negocio de capacitación en seguridad cibernética de la compañía, Infosec.
No hay comentarios:
Publicar un comentario