Las redes neuronales profundas de última generación, un tipo de tecnología de aprendizaje automático utilizada para implementar la inteligencia artificial (IA), han acaparado numerosos titulares durante varios años por su capacidad para traducir idiomas, escribir poesía y crear tuits, entre otras tareas creativas.
Más recientemente, GPT-4 y su predecesor, ChatGPT, dos modelos de IA conversacional que utilizan el aprendizaje profundo, se han promocionado como herramientas "revolucionarias" que "transformarán la forma en que todos trabajamos". Tanto GPT-4 (Generative Pretrained Transformer 4) como ChatGPT son mucho más versátiles que los chatbots tradicionales. Producen respuestas de texto a preguntas y solicitudes similares a las escritas por humanos, y pueden "entender" el contexto de una consulta de búsqueda o de una "conversación" escrita e interpretar la intención que hay detrás de la consulta de un usuario. Gracias a sus funciones únicas, ChatGPT se ha convertido en la aplicación para consumidores de mayor crecimiento de la historia.
Los chatbots de IA pueden ayudar a los usuarios a obtener respuestas asombrosas muy similares a las humanas o incluso a crear determinadas aplicaciones. Tal es así, que existe la preocupación de que sus capacidades puedan ser utilizadas por hackers para crear campañas de phishing.
Para comprender mejor las implicaciones de GPT-4 y ChatGPT en materia de seguridad, es importante entender cómo se podrían "entrenar" estas herramientas para escribir contenidos para campañas de phishing, así como las diferencias entre las campañas de phishing sencillas, y las altamente personalizadas y especificas.
Los atacantes siempre han explotado las últimas tendencias y tecnologías, desde los servicios de almacenamiento en la nube hasta las criptomonedas. Por ello, la aparición de la IA generativa es un recordatorio importante para que las organizaciones garanticen que la seguridad de su correo electrónico es capaz de bloquear las campañas avanzadas de phishing, independientemente de quién, o qué, haya escrito el mensaje.
Los modelos que impulsan los chatbots de IA actuales representan nuevos hitos en el procesamiento del lenguaje natural (PLN), una rama de la IA que permite a las máquinas "entender" y responder a textos o palabras habladas de forma muy similar a como lo hacen los humanos. El PLN combina el modelado basado en reglas del lenguaje humano con diversos modelos para ayudar a los ordenadores a dar sentido a lo que procesan.
Diversas aplicaciones, como las herramientas de monitorización de redes sociales y los asistentes de voz como Siri, llevan años utilizando el PLN. Sin embargo, ChatGPT y GPT-4, que se entrenaron con miles de millones de parámetros de texto e imágenes son, sin duda alguna, más avanzados.
Cada uno de ellos representa un "gran modelo lingüístico", un modelo de PLN basado en redes neuronales que se ha entrenado para hacer predicciones sobre cuál es la siguiente palabra más lógica que sigue a una frase dada. Se ha descubierto que esta técnica de entrenamiento elabora modelos de PLN que también son buenos en muchas otras tareas.
La forma en que OpenAI (creador de ChatGPT y GPT-4) ha aplicado esta técnica representa un hito importante. OpenAI llevó el entrenamiento un paso más allá que otras aplicaciones a través del uso de técnicas novedosas que permiten incorporar opiniones humanas sobre el texto o las imágenes producidas, y entrenamiento especializado para seguir instrucciones en mensajes. Como resultado, se han perfeccionado sus modelos para generar conversaciones con matices, similares a las humanas.
Las respuestas articuladas generadas por ChatGPT y GPT-4 tienen un buen fin. Sin embargo, los ciberdelincuentes pueden explotar sus capacidades como herramienta para desarrollar campañas de phishing.
El phishing es la causa más común de las fugas de datos, y un punto de entrada habitual para el ransomware.
Los correos electrónicos de phishing están diseñados socialmente para imitar a entidades legítimas, de ahí que cueste identificarlos a primera vista. Sin embargo, tradicionalmente, los identificadores comunes de los mensajes de phishing (especialmente los generados por delincuentes que no hablan/escriben la lengua materna de la víctima) han incluido gramática deficiente, palabras mal escritas o mal utilizadas, y estructuras de frases inadecuadas.
En enero de 2023, la empresa de inteligencia sobre amenazas Recorded Future informó de que los delincuentes pueden utilizar ChatGPT para crear mensajes de phishing de apariencia auténtica.
Recorded Future descubrió que a las pocas semanas del lanzamiento de ChatGPT, los ciberdelincuentes en la web oscura y las fuentes de acceso especial estaban compartiendo conversaciones de prueba de concepto de ChatGPT que permitían el desarrollo de malware, ingeniería social y desinformación.
También se ha informado sobre atacantes que se aprovechan de la popularidad de ChatGPT y GPT-4, por ejemplo:
Los investigadores han descubierto varios casos en los que el nombre de ChatGPT y las imágenes de OpenAI se suplantaron en sitios web de phishing para difundir malware o robar información de tarjetas de crédito.
Ha habido aplicaciones falsas de ChatGPT que, cuando se descargan, implementan campañas de phishing para robar la información de los usuarios.
Inmediatamente después del lanzamiento de GPT-4, los estafadores empezaron a enviar correos electrónicos de phishing y a tuitear enlaces de phishing sobre un token falso de OpenAI.
Desde el punto de vista técnico, OpenAI prohíbe el uso de sus modelos para la "generación de malware", "actividades con alto riesgo de causar perjuicio económico", "actividades fraudulentas o engañosas" y cualquier otra actividad ilegal. Sus modelos no escribirán correos electrónicos de phishing ni ayudarán a crear sitios web de phishing si se les solicita. Sin embargo, pueden simplificar la forma en que los hackers crean campañas de phishing. Aunque solo sea eso, los chatbots de IA pueden hacer posible que todo el mundo, incluidos los atacantes, perfeccionen rápidamente sus habilidades de escritura.
En las manos equivocadas, ChatGPT y GPT-4 se podrían utilizar para crear mensajes y sitios web de phishing de aspecto más auténtico y bien escritos, capaces de eludir la seguridad tradicional del correo electrónico o los filtros contra el phishing.
Los atacantes saben que solo necesitan atraer a una víctima con un clic o una conversación para robar credenciales, información o dinero. Esta práctica es evidente en los ataques de phishing de "empleos falsos" dirigidos a solicitantes de empleo, estafas de suplantación de identidad de organizaciones benéficas dirigidas a donantes y estafas de citas por Internet dirigidas a personas que utilizan portales de citas en línea.
Hoy en día, las redes neuronales más eficaces no son capaces de "conocer" los datos personales del ciudadano medio, ni la estructura organizativa y de comunicación específica de una empresa. Sin embargo, un atacante que combine la eficacia de los chatbots de IA con una investigación suficiente sobre su víctima potencial podría adaptar los mensajes de phishing a escala, dificultando aún más que los usuarios detecten los correos maliciosos.
Los ciberdelincuentes ya utilizan ataques al correo electrónico corporativo (BEC) muy específicos y de bajo volumen para logar estafar a las organizaciones. Los ataques BEC suelen suplantar la identidad de un empleado o ejecutivo concreto con el que la víctima mantiene una correspondencia regular. Los ataques al correo electrónico de proveedores (VEC), una forma de ataque BEC, consiste en poner en riesgo las cuentas de un tercero de confianza (como un distribuidor o proveedor), y reflejará mensajes intercambiados previamente. Dado que tanto los ataques BEC como VEC se aprovechan de las relaciones de "confianza", pueden eludir las puertas de enlace de correo electrónico seguro y la autenticación tradicionales. Los ataques BEC ya han costado a las empresas más de 43 000 millones de dólares en todo el mundo.
Los atacantes siempre aprovecharán las nuevas tecnologías en su beneficio. Afortunadamente, las innovaciones en seguridad pueden identificar los mensajes maliciosos que eluden los sistemas de protección heredados o la concienciación del usuario. A lo largo de los años se han creado y entrenado modelos de aprendizaje automático sofisticados para examinar muchas señales, más allá del texto o las imágenes, para detectar y bloquear el phishing.
Los mensajes de correo electrónico contienen cantidades significativas de información adicional en los campos de encabezado y metadatos, incluida información sobre el lugar desde el que se envió el correo electrónico, la infraestructura del servidor de origen y su ruta de transmisión. Más allá de los encabezados, es necesario evaluar otros detalles de un mensaje, como la URL y los enlaces específicos, los archivos adjuntos, los miembros de la lista de distribución, el tono, etc.
La seguridad preventiva del correo electrónico de Cloudflare, que forma parte de su plataforma Zero Trust, analiza numerosas señales que generan el contenido del correo electrónico, entre ellas:
Análisis de sentimiento para detectar cambios en patrones y comportamientos (patrones de escritura y expresiones).
Análisis estructural de encabezados, cuerpo del mensaje, imágenes, enlaces y cargas útiles mediante heurística y modelos de aprendizaje automático diseñados específicamente para estas señales.
Gráficos de confianza que evalúan los gráficos sociales de los socios, el historial de envíos y las posibles suplantaciones de socios.
Cloudflare también utiliza la información extraída de ~165 MM de ciberamenazas bloqueadas cada día y de 3,6 MM de consultas DNS diarias, en promedio. Con esta información, los clientes de Cloudflare pueden bloquear dominios maliciosos, aislar a sus usuarios de contenidos web sospechosos, evitar que los usuarios divulguen credenciales en sitios web de phishing y detener el phishing en diferentes vectores de ataque.
Estas y otras técnicas ayudan a impedir que los atacantes se aprovechen de la confianza implícita de los usuarios en las comunicaciones empresariales. El enfoque general, conocido como la ampliación Zero Trust a la protección contra a amenazas, se basa en tres principios fundamentales:
Asumir la fuga: asume que siempre se están preparando campañas de phishing. Analiza Internet para buscar proactivamente la infraestructura de los atacantes y bloquear los ataques de phishing antes de que lleguen a la bandeja de entrada.
Nunca confíes: no te fíes solo de las comunicaciones empresariales porque tengan configurada la autenticación del correo electrónico, procedan de dominios de confianza o sean de alguien con quien un usuario corporativo se ha comunicado antes.
Verifica siempre: verifica continuamente cada usuario y solicitud, aunque estén dentro de la red corporativa.
Está claro que los atacantes utilizarán cualquier herramienta a la que tengan fácil acceso, como los nuevos chatbots de IA, para mejorar sus tácticas. Jugar constantemente a la defensiva, o esperar a determinar si las nuevas ciberamenazas son una realidad, puede elevar los riesgos de una organización. Más bien, "asume las fugas", "nunca confíes" y "verifica siempre" para protegerte mejor contra cualquier campaña de phishing.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Para conocer los tipos de campañas de phishing que detectamos y bloqueamos, accede a la demostración autoguiada de seguridad del correo electrónico.
Después de leer este artículo podrás entender:
Cómo generan texto los chatbots de IA conversacional
Cómo los atacantes podrían explotar ChatGPT o GPT-4 para crear campañas de phishing
Cómo protegerse contra las amenazas de phishing generadas por IA
Seminario web a petición: ¿Se avecina una "apocalipsis de phishing"?
Documento técnico: Simplificamos la protección de las aplicaciones SaaS