Newsletter
Recibe gratis un resumen diario de lo más importante en negocios.
Al suscribirte aceptas los términos y condiciones de nuestra política de privacidad.
14 de jun. (Dow Jones) -- Consumidores tengan cuidado: es probable que los chatbots de inteligencia artificial (IA) como ChatGPT impulsen un aumento en el uso y la efectividad de las herramientas de fraude en línea, como el phishing y los mensajes de spear-phishing.
De hecho, ya podría estar sucediendo. Los ataques de phishing en todo el mundo crecieron casi 50% en 2022 respecto al año anterior, de acuerdo con Zscaler, un proveedor de seguridad en la nube. Algunos expertos dijeron que el software de inteligencia artificial que hace que los mensajes de phishing suenen más creíbles es parte del problema. La IA reduce o elimina las barreras lingüísticas y los errores gramaticales, ayudando a los estafadores a hacerse pasar por colegas, amigos o familiares de un objetivo.
“Esta nueva era va a ser peor que la que teníamos antes”, dijo Meredith Broussard, directora de investigación de Alliance for Public Interest Technology de New York University. “Y lo que teníamos antes era muy, muy malo”.
Apuestas altas
Los chatbots de IA han explotado en popularidad, siendo quizás el más conocido ChatGPT, desarrollado por la compañía de investigación de inteligencia artificial OpenAI, un socio estratégico de Microsoft. Pero docenas de chatbots, que utilizan lo que se conoce como modelos de lenguaje grandes, están cada vez más disponibles y pueden imitar de cerca la comunicación humana basada en los datos que acumulan. Estos modelos se pueden usar para muchos propósitos, como ayudar a los trabajadores de oficina a crear notas de rutina más rápidamente. Pero también pueden ser utilizados por delincuentes, por ejemplo, para defraudar a las víctimas o para propagar virus maliciosos.
Los signos reveladores de un ataque de phishing han incluido durante mucho tiempo errores gramaticales u ortográficos. Pero la IA puede dar a un ataque de phishing más credibilidad y alcance, no sólo por su capacidad para generar mensajes gramaticales fluidos en muchos idiomas, sino también por su capacidad para imitar los estilos de hablar o escribir de las personas.
“El punto con los modelos de lenguaje grandes es su capacidad para emular cómo suenan los humanos”, dijo Etay Maor, director sénior de estrategia de seguridad de Cato Networks, un proveedor de redes y seguridad en la nube.
Por lo tanto, dada la oportunidad de aprender el estilo en el que una determinada persona escribe correos electrónicos y textos, dijo Maor, se puede usar un programa de IA para imitar las comunicaciones de un ejecutivo de la empresa.
“Se trata de confianza, y si puedo hacerte pensar que soy uno de ustedes, comenzarás a hacer las cosas con más confianza y menos escepticismo”, dijo Roger Grimes, un profesional de seguridad informática de KnowBe4, una plataforma de capacitación en conciencia de seguridad y phishing simulado.
Usando IA, dijo Grimes, los delincuentes pueden determinar rápidamente los términos específicos de la industria que les dan más capacidad para dirigirse a empresas como hospitales, bancos y fintech.
Campañas dirigidas
La utilidad de la IA en los ataques de phishing y spear-phishing no se detiene con su capacidad para imitar la auténtica comunicación humana. Las habilidades analíticas del aprendizaje automático también pueden ser útiles para determinar a quién apuntar mejor en una organización y cómo atacarlos exactamente.
Sean McNee, vicepresidente de investigación y datos de DomainTools, una compañía de inteligencia de internet, ofrece un ejemplo hipotético. Digamos que un contador de una empresa publica inocentemente en las redes sociales sobre sus frustraciones con una auditoría reciente. La IA podría determinar los pares del contador, la estructura de informes de su empresa y quién más en la empresa podría ser más susceptible a un ataque. Luego, el atacante podría crear un correo electrónico de spear-phishing que pretendía ser del director financiero refiriéndose a una discrepancia en la auditoría y pidiéndole al destinatario que abriera una hoja de cálculo adjunta que contenga un virus.
Ramayya Krishnan, decana del Heinz College de Carnegie Mellon University, recomienda ser proactivo para protegerse contra tales ataques.
Primero, antes de actuar sobre algo, dijo, las personas siempre deben verificar la legitimidad de la solicitud a través de medios independientes. Esto significa que antes de hacer clic en un enlace o enviar dinero, el destinatario debe llamar a la persona a través de un número de teléfono familiar o entrar en la oficina de la persona para confirmar la solicitud, dijo Krishnan.
Mantén una buena dosis de escepticismo por todo lo que recibes, dijo Maor. Pregúntate, ¿por qué mi banco me envía un correo electrónico? ¿Por qué hay un sentido de urgencia? ¿Por qué hay un archivo adjunto en el que hacer clic? También es recomendable pasar el cursor sobre un enlace antes de hacer clic para ver si conduce a una URL esperada. “Si tienes alguna razón para pensar que algo anda mal, no hagas clic en ella”, dijo Maor.
Otras barandillas
Una fuerte regulación de la IA también podría ayudar, dijo Broussard, quien también es profesor asociado en Arthur L. Carter Journalism Institute de New York University.
La propia IA también debería ser reclutada para ayudar a identificar contenido malicioso con sus orígenes en la IA, dijo Dave Ahn, arquitecto jefe de Centripetal, una compañía de ciberseguridad. Pero primero los modelos para hacerlo tendrán que evolucionar y los datos tendrán que mejorar. Los datos sobre ataques exitosos basados en IA ayudarán a los expertos en ciberseguridad a entrenar nuevos modelos para identificar mejor la actividad maliciosa, dijo Ahn.
Otras posibles medidas de seguridad incluyen dar a los usuarios una forma de distinguir su contenido como auténtico. El uso de patrones ocultos conocidos como “marcas de agua”, por ejemplo, puede ser enterrado en textos generados por IA para ayudar a identificar si las palabras están escritas por un humano o una computadora, dijo Krishnan. Pero la aplicabilidad de estas herramientas es limitada.
Krishnan dijo: “No estamos cerca de desplegarlos a escala donde es una solución al potencial de malos actores que tenemos hoy”.
Fecha de publicación: 14/06/2023