La división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., Check Point Research, ha publicado los resultados de su análisis preliminar de ChatGPT4, destacando los posibles escenarios de ciberdelincuencia acelerada que podrían surgir a partir de su uso.
El análisis muestra que el GPT-4 podría ser utilizado para crear contenido malicioso, incluyendo correos electrónicos de phishing, mensajes de texto y publicaciones en redes sociales, que podrían ser difíciles de detectar por los sistemas de seguridad actuales debido a su alta calidad. Además, se sugiere que el GPT-4 también podría ser utilizado para la creación de deepfakes y campañas de desinformación.
Escenarios de vulnerabilidad de ChatGPT
Aunque la nueva plataforma ha mejorado claramente en muchos niveles, existen escenarios potenciales en los que los atacantes pueden acelerar la ciberdelincuencia en ChatGPT4. En efecto, algunas restricciones pueden eludirse fácilmente, lo que permite a los ciberatacantes lograr sus objetivos sin grandes obstáculos.
Check Point Research (CPR) ha encontrado los siguientes escenarios, que permiten a los actores de amenazas agilizar su actividad maliciosa, dando lugar a resultados más rápidos y precisos para acelerar el cibercrimen.
- Malware C++ que recopila archivos PDF y los envía a FTP.
- Phishing: Suplantación de identidad de un banco.
- Phishing: Correos electrónicos a empleados.
- PHP Reverse Shell.
- Programa Java que descarga y ejecuta putty que puede lanzarse como un powershell oculto.
Oded Vanunu, Head of Products Vulnerabilities Research de Check Point Software, destaca que se han encontrado «varias formas en las que ChatGPT puede ser utilizado por los hackers, y casos reales en los que lo fue». Según aclara Vanunu, «ChatGPT4 puede servir tanto a los buenos como a los malos actores», puesto que «los buenos pueden utilizar ChatGPT para crear código útil para la sociedad, al mismo tiempo que los malos pueden emplear esta tecnología de IA para la ejecución rápida de ciberdelitos».
En la actualidad, ChatGPT4 puede dotar a los ciberatacantes de las herramientas necesarias para acelerar y validar su actividad. Los ciberdelincuentes también pueden utilizar la rapidez de respuesta de ChatGPT4 para superar los retos técnicos que plantea el desarrollo de malware.
El informe de Check Point Research concluye resaltando la importancia de las medidas de seguridad cibernética para evitar la explotación de estas herramientas por parte de los delincuentes, así como la necesidad de que las autoridades y la industria de la tecnología trabajen juntas para enfrentar este riesgo.
Italia bloquea el uso de ChatGPT4
Italia ha prohibido temporalmente el lenguaje GPT-4, citando preocupaciones sobre su potencial uso para fines de ciberdelincuencia. La decisión fue tomada por el Ministerio de Desarrollo Económico italiano y se basa en una solicitud del Servicio de Inteligencia y Seguridad del Estado.
El Garante italiano para la Protección de Datos Personales, una autoridad administrativa independiente que vela por la protección de datos de los usuarios y consumidores, considera que la plataforma recoge datos de los usuarios de manera ilegal y ha abierto una investigación para esclarecer el funcionamiento de esta herramienta y determinar si ha cometido una infracción.
A través de un comunicado, el Garante italiano ha criticado «la ausencia de una base jurídica adecuada en relación con la recogida de datos personales y su tratamiento con el fin de entrenar los algoritmos subyacentes al funcionamiento de ChatGPT», constatando, además, que «la ausencia de filtros para los menores de 13 años les expone a respuestas totalmente inadecuadas en relación con su grado de desarrollo y autoconocimiento».
Teniendo en cuenta «el tratamiento de los datos personales de los usuarios, incluidos los menores, y de los interesados cuyos datos son utilizados por el servicio, que infringe los artículos 5, 6, 8, 13 y 25 del Reglamento», y en conformidad con el artículo 58 del mismo, el Garante italiano «impone con carácter urgente y hasta que finalice la investigación preliminar» la medida de restricción provisional para el uso del ChatGPT.
Se espera que la prohibición se mantenga en vigor hasta que se hayan completado las evaluaciones de riesgos y las pruebas necesarias para determinar el impacto potencial del GPT-4 en la seguridad cibernética y en la privacidad de los datos.
