¿Es ChatGPT una bala de plata para los ciberdelincuentes?
Vicepresidente sénior de Proofpoint, que supervisa la estrategia de ciberseguridad global.
A estas alturas, ya has oído hablar de ChatGPT, o más probablemente, has oído que va a quitarte el trabajo, ya seas programador, periodista, músico o casi cualquier otra cosa.
El chatbot OpenAI ha sido accesible para todos durante unos meses, pero ya ha acumulado millones de usuarios, impresionando con su capacidad para escribir de todo, desde código hasta ensayos y letras.
Es posible que también haya oído que ChatGPT está a punto de incendiar un panorama de amenazas cibernéticas que ya está en ebullición, ayudando a los estafadores a escribir correos electrónicos de phishing atractivos, convincentes y gramaticalmente correctos o códigos de malware perfectos en segundos.
Si bien ChatGPT es ciertamente impresionante, ¿realmente debemos preocuparnos de que suba la apuesta sobre amenazas que ya son amenazantes? En resumen, la respuesta es no, pero hay poco que celebrar al respecto.
La IA de ChatGPT agrega poco, por ahora
Es poco probable que ChatGPT refuerce el arsenal de la mayoría de los ciberdelincuentes, no porque no sea útil sino porque, en la mayoría de los casos, agrega muy poco.
Por un lado, muchos correos electrónicos de ingeniería social no están diseñados para ser perfectos (gramaticalmente o de otra manera). En cambio, a menudo se escriben mal intencionalmente para encontrar personas que tengan más probabilidades de participar. Además, los encabezados, los remitentes, los archivos adjuntos y las URL se encuentran entre los indicadores de amenazas comunes analizados y marcados por tecnologías de detección sólidas, y un correo electrónico bien escrito no hará mucho por cambiar eso.
Incluso en casos como el compromiso del correo electrónico empresarial (BEC), donde el tono y la precisión tienen más valor, el correo electrónico es solo una parte del rompecabezas. Los ciberdelincuentes también necesitan acceso a información crítica, como pagadores, beneficiarios y otros detalles de transacciones.
Es probable que esta información provenga de una bandeja de entrada comprometida, lo que significa que los actores de amenazas pueden simplemente copiar el estilo de un correo electrónico enviado desde la cuenta de la víctima en lugar de usar IA para crear uno desde cero.
Incluso las formas más innovadoras de ingeniería social no se prestan al abuso de ChatGPT. A través de la investigación, encontramos un "aumento marcado en campañas de phishing sofisticadas y multitáctiles que involucran conversaciones más largas entre múltiples personas". Si bien los actores BEC también jugarán el juego largo, los actores de amenazas persistentes avanzadas (APT) fueron pioneros en este tipo de ataques. y no han necesitado usar IA para lograr sus objetivos de ingeniería social.
Si bien los ciberdelincuentes o adversarios más avanzados podrían usar ChatGPT como un chatbot para llevar a cabo conversaciones completas con múltiples víctimas en masa, por lo general no necesitan o no quieren hacerlo. En la mayoría de los casos, las campañas de APT reflejan tareas específicas y están bien planificadas, investigadas a fondo, muy específicas y no adecuadas para ser lanzadas a gran escala. Los ciberdelincuentes están inundados de millones de credenciales y puntos finales comprometidos, e incluso han creado sus propios sistemas de estilo CRM para priorizar la escalada manual de privilegios y el movimiento lateral necesarios para llevar a cabo un ataque típico de ransomware/extorsión de datos.
Otro extra añadido
Puede que no esté teniendo un impacto revolucionario en esta etapa, pero eso no quiere decir que los actores de amenazas no estén ya dando algún uso a ChatGPT. Por ahora, sin embargo, es solo otro conjunto de herramientas de fácil acceso a su disposición.
El mundo no se queda corto en malware comercial, y el código escrito para el mismo propósito por ChatGPT no es mejor que la oferta actual. Si bien puede indicarle a ChatGPT que escriba código de manera más explícita, no hace que el malware resultante sea mejor en lo que debe hacer, es decir, evadir EDR e infectar máquinas.
Tampoco ahorra tiempo ni esfuerzo en otros lugares. Para lanzar un ataque de malware, los actores de amenazas aún deben realizar una serie de tareas menores: rotar su infraestructura, registrar dominios y recalibrar después de que los investigadores de amenazas detecten y condenen los ataques.
Los operadores nefastos necesitan vender su código y difundirlo, y ChatGPT no hace nada para ayudar a automatizar los componentes más importantes de este proceso.
Por estas razones y más, es poco probable que afecte el panorama de amenazas hasta que supere las capacidades de las herramientas disponibles actualmente. Muchas de estas herramientas se han perfeccionado durante décadas para hacer mucho más que un chatbot ciertamente muy avanzado.
Por supuesto, esto bien puede cambiar. ChatGPT ya está progresando rápidamente y captando la atención de los estados-nación y los profesionales de la ciberseguridad, por lo que es poco probable que este sea el final de la historia.
Aun así, ya sea que los ciberdelincuentes utilicen tales herramientas ahora o en el futuro para mejorar los ataques de ingeniería social, phishing o malware, las estrategias necesarias para detectar y disuadir estas tácticas siguen siendo en gran medida las mismas.
Cómo mantener a raya las amenazas: IA o de otra manera
Ya sea que utilicen IA o no, los ciberdelincuentes están violando nuestros perímetros y comprometiendo máquinas, redes y bandejas de entrada a diario. Así como ChatGPT cambia poco sobre los ataques que enfrentamos, también cambia poco sobre cómo nos defendemos de ellos.
La única respuesta es una estrategia robusta y de múltiples capas, que abarque herramientas y tecnología, así como un enfoque en el elemento humano.
La conciencia es clave. Como nuestra gente suele ser la última línea de ciberdefensa, debe estar equipada para la tarea. Eso significa asegurarse de que todos en su organización entiendan las posibles señales de un correo electrónico de phishing y la importancia de examinar el formato, los dominios, las direcciones, las URL y los archivos adjuntos.
Cuanto más entiendan, menos probable será que se vean envueltos en tales ataques (sea quien sea el escriba) y, como resultado, su organización estará más segura.
