ChatGPT: herramienta de productividad, excelente para escribir poemas y… ¡¿un riesgo para la seguridad?! En este artículo, mostramos cómo los actores de amenazas pueden explotar ChatGPT, pero también cómo los defensores pueden usarlo para mejorar su juego.
ChatGPT es la aplicación para consumidores de más rápido crecimiento hasta la fecha. El extremadamente popular chatbot generativo de IA tiene la capacidad de generar respuestas similares a las humanas, coherentes y contextualmente relevantes. Esto lo hace muy valioso para aplicaciones como creación de contenido, codificación, educación, atención al cliente e incluso asistencia personal.
Sin embargo, ChatGPT también conlleva riesgos de seguridad. ChatGPT se puede utilizar para la filtración de datos, la difusión de información errónea, el desarrollo de ciberataques y la redacción de correos electrónicos de phishing. Por otro lado, puede ayudar a los defensores, quienes pueden usarlo para identificar vulnerabilidades y aprender sobre diversas defensas.
En este artículo, mostramos numerosas formas en que los atacantes pueden explotar ChatGPT y OpenAI Playground. Igual de importante es que mostramos formas en que los defensores pueden aprovechar ChatGPT para mejorar también su postura de seguridad.
El actor de amenazas: piratear de forma fácil
ChatGPT facilita las cosas a las personas que buscan ingresar al mundo del ciberdelito. A continuación se muestran algunas formas en que se puede utilizar para la explotación del sistema:
- Encontrar vulnerabilidades – Los atacantes pueden informar a ChatGPT sobre posibles vulnerabilidades en sitios web, sistemas, API y otros componentes de la red.
Según Etay Maor, director senior de estrategia de seguridad de Redes Cato«Hay barreras de seguridad en ChatGPT y Playground para evitar que den respuestas que respalden hacer algo malo o perverso. Pero la ‘ingeniería social’ de la IA permite encontrar una manera de sortear ese muro».
Por ejemplo, esto se puede hacer haciéndose pasar por un probador de penetración sobre cómo probar el campo de entrada de un sitio web en busca de vulnerabilidades. La respuesta de ChatGPT incluirá una lista de métodos de explotación de sitios web, como pruebas de validación de entradas, pruebas XSS, pruebas de inyección SQL y más.
- Explotación de vulnerabilidades existentes – ChatGPT también puede proporcionar a los atacantes la información tecnológica que necesitan sobre cómo explotar una vulnerabilidad existente. Por ejemplo, un actor de amenazas podría preguntarle a ChatGPT cómo probar una vulnerabilidad de inyección SQL conocida en el campo de un sitio web. ChatGPT responderá con ejemplos de entrada que activarán la vulnerabilidad.
- Usando Mimikatz – Los actores de amenazas pueden solicitar a ChatGPT que escriba código que descargue y ejecute Mimikatz.
- Escribir correos electrónicos de phishing – Se puede solicitar a ChatGPT que cree correos electrónicos de phishing que parezcan auténticos en una amplia variedad de idiomas y estilos de escritura. En el siguiente ejemplo, el mensaje solicita que el correo electrónico esté escrito para que suene como si viniera de un director ejecutivo.
- Identificación de archivos confidenciales – ChatGPT puede ayudar a los atacantes a identificar archivos con datos confidenciales.
En el siguiente ejemplo, se le solicita a ChatGPT que escriba una secuencia de comandos Python que busque archivos Doc y PDF que contengan la palabra «confidencial», los copie en una carpeta aleatoria y los transfiera. Si bien el código no es perfecto, es un buen comienzo para una persona que quiera desarrollar esta capacidad. Las indicaciones también podrían ser más sofisticadas e incluir cifrado, creación de una billetera Bitcoin para el dinero del rescate y más.
El defensor: defender de forma fácil
ChatGPT también puede y debe usarse para mejorar las capacidades de los defensores. Según Etay Maor, «ChatGPT también baja el listón, en el buen sentido, para los defensores y para las personas que quieren entrar en seguridad». A continuación se presentan varias formas en que los profesionales pueden mejorar su experiencia y capacidades en seguridad.
- Aprender nuevos términos y tecnologías – ChatGPT puede acortar el tiempo que lleva investigar y aprender nuevos términos, tecnologías, procesos y metodologías. Proporciona respuestas inmediatas, precisas y concisas a preguntas relacionadas con la seguridad.
En el siguiente ejemplo, ChatGPT explica qué es una regla de snort específica.
- Resumir informes de seguridad – ChatGPT puede ayudar a resumir los informes de infracciones, ayudando a los analistas a conocer cómo se realizaron los ataques para poder evitar que se repitan en el futuro.
- Descifrando el código del atacante – Los analistas pueden cargar el código del atacante en ChatGPT y obtener una explicación de los pasos seguidos y la carga útil ejecutada.
- Predecir rutas de ataque – ChatGPT puede predecir posibles rutas de ataque futuras de un ataque, analizando ciberataques pasados similares y las técnicas que se utilizaron.
- Investigación de actores de amenazas y rutas de ataque – Proporcionar un informe que mapee un actor de amenazas, incluidos sus ataques recientes, datos técnicos, mapeo de marcos y más. En este ejemplo, se proporciona un informe técnico detallado sobre el grupo ALPHV Ransomware.
- Identificación de vulnerabilidades del código – Los ingenieros pueden pegar código en ChatGPT y solicitarle que identifique cualquier vulnerabilidad. ChatGPT puede incluso identificar vulnerabilidades cuando no hay ningún error, sólo un error lógico. Tenga cuidado con el código que carga. Si contiene datos de propiedad exclusiva, es posible que los esté exponiendo externamente.
- Identificación de actividades sospechosas en registros – Revisar la actividad del registro y buscar actividades sospechosas.
- Identificación de páginas web vulnerables – Los desarrolladores web o los profesionales de la seguridad pueden solicitar a ChatGPT que revise el código HTML de un sitio web e identifique vulnerabilidades que permitirían inyecciones SQL, ataques CSRF, ataques XSS o ataques DDoS.
Consideraciones adicionales al usar ChatGPT
Al utilizar ChatGPT, es importante reconocer la importancia de los siguientes factores:
- Derechos de autor – ¿Quién es el propietario del contenido generado? Al preguntarle a ChatGPT, la respuesta es que la persona que escribió el mensaje es el propietario. Sin embargo, no es tan simple como eso. Esta cuestión aún no está completamente resuelta y dependerá de diversos sistemas jurídicos y precedentes. Actualmente está surgiendo un cuerpo de leyes sobre este tema.
- Retención de datos – OpenAI puede conservar algunos de los datos utilizados como indicaciones para capacitación u otros fines de investigación. Por eso es importante tener cuidado y evitar pegar datos confidenciales en la aplicación.
- Privacidad – Existen problemas de privacidad en torno a ChatGPT, que van desde cómo utiliza los datos que se le solicitan hasta cómo almacena las interacciones de los usuarios. Por lo tanto, se recomienda evitar ingresar PII o datos del cliente en la aplicación.
- Inclinación – ChatGPT está sujeto a prejuicios. Por ejemplo, cuando se le pidió que calificara a los grupos según su inteligencia, colocó ciertas etnias antes que otras. Usar respuestas a ciegas podría tener consecuencias importantes para las personas. Por ejemplo, si se utiliza para guiar la toma de decisiones en los tribunales, elaboración de perfiles policiales, procesos de reclutamiento y más.
- Exactitud – Es importante verificar los resultados de ChatGPT, ya que no siempre son precisos (es decir, ‘alucinaciones’. En el siguiente ejemplo, se le pidió a ChatGPT que escribiera una lista de palabras de cinco letras que comenzaran con B y terminaran con KE. Una de las respuestas era «Bicicleta».
- IA contra IA – Actualmente, ChatGPT no puede identificar si un texto solicitado fue escrito por IA o no. En el futuro, es posible que las versiones más nuevas puedan hacerlo, lo que puede ayudar con los esfuerzos de seguridad. Por ejemplo, esta capacidad podría ayudar a identificar correos electrónicos de phishing.
Etay resume: «No podemos detener el progreso, pero sí necesitamos enseñar a la gente cómo utilizar estas herramientas».
Para obtener más información sobre cómo los profesionales de la seguridad pueden aprovechar ChatGPT al máximo, Mira la clase magistral completa aquí.