por Jim Chilton
Ahora es el momento de que los líderes del sector público y privado den un paso al frente.
• • •
Cuando OpenAI lanzó su revolucionario modelo de lenguaje de IA ChatGPT en noviembre, millones de usuarios quedaron perplejos por sus capacidades. Sin embargo, para muchos, la curiosidad dio paso rápidamente a una seria preocupación por el potencial de la herramienta para promover las agendas de los malos actores. En concreto, ChatGPT abre nuevas vías para que los piratas informáticos puedan infringir el software de ciberseguridad avanzado. Para un sector que ya se tambalea por un Aumento mundial del 38% en las filtraciones de datos de 2022, es fundamental que los líderes reconozcan el creciente impacto de la IA y actúen en consecuencia.
Antes de que podamos formular soluciones, debemos identificar las principales amenazas que se derivan del uso generalizado de ChatGPT. Este artículo examinará estos nuevos riesgos, explorará la formación y las herramientas necesarias para que los profesionales de la ciberseguridad respondan y solicitará la supervisión del gobierno para garantizar que el uso de la IA no vaya en detrimento de los esfuerzos de ciberseguridad.
Estafas de suplantación de identidad generadas por IA
Si bien las versiones más primitivas de la IA basada en el lenguaje han sido de código abierto (o están disponibles para el público en general) durante años, ChatGPT es, con mucho, la versión más avanzada hasta la fecha. En particular, la habilidad de ChatGPT para conversar sin problemas con los usuarios sin errores ortográficos, gramaticales ni de tiempo verbal hace que parezca que podría haber una persona real al otro lado de la ventana de chat. Desde la perspectiva del hacker, ChatGPT cambia las reglas del juego.
El Informe sobre delitos en Internet de 2021 del FBI descubrió que la suplantación de identidad es la amenaza de IT más común en los Estados Unidos. Sin embargo, la mayoría de las estafas de suplantación de identidad son fácilmente reconocibles, ya que suelen estar plagadas de errores ortográficos, mala gramática y, en general, frases incómodas, especialmente las que se originan en otros países donde el idioma materno del mal actor no es el inglés. ChatGPT permitirá a los piratas informáticos de todo el mundo hablar inglés casi con fluidez para reforzar sus campañas de suplantación de identidad.
Para los líderes de ciberseguridad, el aumento de los sofisticados ataques de suplantación de identidad requiere una atención inmediata y soluciones prácticas. Los líderes deben equipar a sus equipos de IT con herramientas que puedan determinar qué es lo que genera ChatGPT y qué lo generan los humanos, orientadas específicamente a los correos electrónicos «fríos» entrantes. Afortunadamente, la tecnología «Detector ChatGPT» ya existe, y es probable que avance junto con el propio ChatGPT. Lo ideal sería IT la infraestructura de TI integrara un software de detección de IA que analizara y marcara automáticamente los correos electrónicos generados por la IA. Además, es importante que todos los empleados reciban formación y reciclaje de forma rutinaria sobre las habilidades más recientes de concienciación y prevención de la ciberseguridad, prestando especial atención a las estafas de suplantación de identidad respaldadas por la IA. Sin embargo, tanto el sector como el público en general tienen la responsabilidad de seguir abogando por herramientas de detección avanzadas, en lugar de limitarse a adular las crecientes capacidades de la IA.
Engañar a ChatGPT para que escriba código malintencionado
ChatGPT es experto en generar código y otras herramientas de programación informática, pero la IA está programada para no generar código que considere malintencionado o destinado a hackear. Si se solicita un código de hackeo, ChatGPT informará al usuario de que su propósito es «ayudar en tareas útiles y éticas, respetando las normas y políticas éticas».
Sin embargo, la manipulación de ChatGPT es ciertamente posible y, con suficiente creatividad, los malos actores podrían engañar a la IA para que genere código de hackeo. De hecho, los piratas informáticos ya están conspirando con este fin.
Por ejemplo, la empresa de seguridad israelí Check Point descubrió recientemente un hilo en un conocido foro clandestino de hackeo de un hacker que afirmó estar probando el chatbot para recrear cepas de malware. Si ya se ha descubierto uno de esos hilos, se puede decir con seguridad que hay muchos más en todo el mundo y en la «web oscura». Los profesionales de la ciberseguridad necesitan la formación adecuada (es decir, la mejora continua de sus habilidades) y los recursos para responder a las amenazas cada vez mayores, generadas por la IA o de otro tipo.
También existe la oportunidad de equipar a los profesionales de la ciberseguridad con su propia tecnología de IA para detectar y defenderse mejor del código de hacker generado por la IA. Si bien el discurso público es primero para lamentar el poder que ChatGPT proporciona a los malos actores, es importante recordar que este mismo poder está igualmente disponible para los buenos actores. Además de tratar de prevenir las amenazas relacionadas con el ChatGPT, la formación en ciberseguridad también debería incluir instrucciones sobre cómo el ChatGPT puede ser una herramienta importante en el arsenal de los profesionales de la ciberseguridad. A medida que esta rápida evolución de la tecnología crea una nueva era de amenazas a la ciberseguridad, debemos examinar estas posibilidades y crear una nueva formación para mantenernos al día. Además, los desarrolladores de software deberían tratar de desarrollar una IA generativa que sea potencialmente incluso más poderosa que ChatGPT y que esté diseñada específicamente para centros de operaciones de seguridad (SoC) llenos de personas.
Regular el uso y las capacidades de la IA
Si bien hay un debate importante sobre los malos actores que aprovechan la IA para ayudar a hackear software externo, lo que rara vez se habla es de la posibilidad de que el propio ChatGPT sea hackeado. A partir de ahí, los malos actores podrían difundir información errónea de una fuente que normalmente se considera imparcial y se diseña para serlo.
ChatGPT tiene según se informa tomó medidas para identificar y evitar responder a preguntas con carga política. Sin embargo, si hackearan y manipularan la IA para proporcionar información aparentemente objetiva, pero que en realidad es información sesgada y bien encubierta o una perspectiva distorsionada, entonces la IA podría convertirse en una peligrosa máquina de propaganda. La capacidad de un ChatGPT comprometido para difundir información errónea podría resultar preocupante y requerir una mayor supervisión gubernamental de las herramientas de IA avanzadas y de empresas como OpenAI.
La administración de Biden ha publicado un» Plan para una declaración de derechos de la IA», pero hay más en juego que nunca con el lanzamiento de ChatGPT. Para ampliar esta cuestión, necesitamos una supervisión que garantice que OpenAI y otras empresas que lanzan productos de IA generativa revisan periódicamente sus funciones de seguridad para reducir el riesgo de que sean hackeadas. Además, los nuevos modelos de IA deberían exigir un umbral de medidas de seguridad mínimas antes de que una IA sea de código abierto. Por ejemplo, Bing lanzó su propia IA generativa a principios de marzo, y De Meta finalizando una poderosa herramienta propia, y vienen más de otros gigantes tecnológicos.
Mientras la gente se maravilla (y los profesionales de la ciberseguridad reflexionan sobre ello) del potencial de ChatGPT y del emergente mercado de la IA generativa, los controles y contrapesos son esenciales para garantizar que la tecnología no se vuelva difícil de manejar. Más allá de que los líderes de ciberseguridad vuelvan a capacitar y reequipar a sus trabajadores, y de que el gobierno asuma una función reguladora más importante, es necesario un cambio general en nuestra mentalidad y nuestra actitud hacia la IA.
Debemos reimaginar cómo es la base fundamental de la IA, especialmente los ejemplos de código abierto como ChatGPT. Antes de que una herramienta esté disponible para el público, los desarrolladores deben preguntarse si sus capacidades son éticas. ¿La nueva herramienta tiene un «núcleo programático» fundamental que prohíba realmente la manipulación? ¿Cómo establecemos normas que lo exijan y cómo responsabilizamos a los desarrolladores por no cumplir esas normas? Las organizaciones tienen instituyó normas agnósticas para garantizar que las bolsas entre diferentes tecnologías, desde tecnología educativa hasta cadenas de bloques e incluso carteras digitales, sean seguras y éticas. Es fundamental que apliquemos los mismos principios a la IA generativa.
La charla de ChatGPT está en su punto más alto y, a medida que la tecnología avanza, es imperativo que los líderes tecnológicos comiencen a pensar en lo que significa para su equipo, su empresa y la sociedad en general. Si no, no solo se quedarán por detrás de la competencia en la adopción y el despliegue de la IA generativa para mejorar los resultados empresariales, sino que tampoco podrán anticipar ni defenderse de los hackers de próxima generación que ya pueden manipular esta tecnología para beneficio personal. Con la reputación y los ingresos en juego, la industria debe unirse para contar con las protecciones adecuadas y hacer de la revolución del ChatGPT algo que dé la bienvenida, no que tema.
_