Alrededor de 700 millones de personas utilizarán la inteligencia artificial de forma generalizada en tan solo seis años o, al menos, eso es lo que apuntan las previsiones. Y es que esta tecnología, cuya irrupción ha supuesto una auténtica revolución, es cada vez más accesible y usada por todo tipo de perfiles y en todo tipo de ámbitos. También por los cibercriminales.
Su uso para el cibercrimen, todavía incipiente, va en aumento en campañas de desinformación, manipulación social y clonación de voz, que actualmente están a la orden del día. Una de cada cuatro personas, de hecho, ha sufrido un ciberataque de clonación de voz o conoce a alguien que lo ha sufrido, según revela un estudio de McAfee. Un método que suele emplearse para pedir dinero o sortear sistemas de autenticación multifactor basados en el reconocimiento de voz. Sin embargo, su verdadero peligro en manos de los cibercriminales está por llegar y su gran explosión se espera cuando los ataques puedan realizarse a gran escala, de forma simultánea y eludiendo las herramientas de detección. Algo que todavía no está pasando, al estar en las primeras etapas de desarrollo de una tecnología que todavía comente numerosos errores y que hay que saber utilizar de forma correcta.
Los avances que se han ido incorporando en esta tecnología, como la posibilidad de leer imágenes, son utilizados por los hackers para construir sus propias herramientas de IA, como ha sucedido con FraoudGPT o WormsGPT, las alternativas maliciosas a ChatGPT. En este sentido, los GPT personalizados pueden ser un recurso muy útil para resolver tareas de la vida cotidiana o profesionales (resumir textos, extraer datos de documentos, escribir código, crear contenido…), pero también, en manos de los ciberdelincuenetes, para crear asistentes personales especializados en generar textos de smishing, correos de spear phishing o malware, como indica el informe “Tendencias en ciberdelincuencia 2024”, elaborado por Sosafe y, además, sin necesidad de disponer de conocimientos técnicos ni de programar. Pueden ser también una herramienta muy potente para generar narrativas de desinformación o creación automática de discursos de odio o ciberacoso.
Fallos de seguridad
Grandes progresos como la capacidad que presentan los modelos avanzados de IA para escribir código y que utilizan hasta el 92% de los desarrolladores dentro y fuera del entorno laboral, también han abierto nuevas brechas de seguridad debido a sus limitaciones. Este tipo de herramientas tienden a priorizar la funcionalidad antes de la seguridad y los expertos comienzan a dudar de la fiabilidad del código generado, pues el resultado, en muchas ocasiones, se deriva en fallos de seguridad como credenciales hardcodeadas o uso de algortimos hash de contraseñas no seguras, entre otros. En esta línea, un estudio reciente de la Universidad de Purdeu ha revelado que más del 52% de las respuestas en programación de ChatGPT contienen información errónea.
Otro de los fenómenos de los que se están beneficiando los hackers es el denominado “alucinación” que, aplicada a la IA, significa que proporciona información falsa o inventada. Lo emplean para infiltrar archivos maliciosos cuando el usuario introduce una consulta, generando que la herramienta de IA recomiende nombres de bibliotecas de código inexistentes, lo que da pie al ciberdelincuente a crear una biblioteca o paquete de código malicioso con uno de esos nombres para subirlo a los repositorios públicos para que la próxima vez que lo recomiende a un usuario, se descargue esa biblioteca infectada.
¿Qué métodos podemos aplicar para protegernos del mal uso de la IA?
- Si eres desarrollador, comprueba el código generado por IA antes de implementarlo.
- Adapta tu estrategia de seguridad a las últimas tendencias de IA.
- Utiliza la IA con responsabilidad.
- Aprovecha la IA para reforzar la seguridad de tu empresa.
- Desconfía de los mensajes de voz y vídeos sospechosos.
- Forma a tus empleados sobre los riesgos de seguridad de la IA.
