El uso de la inteligencia artificial en las empresas puede ser muy beneficioso para distintas áreas de negocio, tales como la atención al cliente mediante preguntas y respuestas automáticas, el análisis de datos, la generación de nuevo contenido, la traducción de texto a diferentes idiomas o la automatización de tareas repetitivas.
Las máquinas han aprendido y han conseguido llegar a razonar casi como lo haría un cerebro humano. Fruto de este avance nace ChatGPT, un modelo de lenguaje creado por OpenAI.
Esta tecnología se basa en el aprendizaje profundo, y su función, es responder preguntas y generar texto a partir de las entradas recibidas. ChatGPT trabaja en varios idiomas, procesando el lenguaje y aprendiendo de la interacción humana.
Las posibilidades que ofrece esta tecnología son infinitas. La velocidad con la que desarrolla las respuestas y la calidad de las mismas nos hace plantearnos si, antes de lo que pensamos, esta herramienta o alguna similar, podría desbancar a los principales buscadores de Internet.
Pero, aunque los beneficios de ChatGPT en el entorno empresarial son múltiples, su uso también entraña una serie de riesgos. Y es que, al igual que esta tecnología avanza a un ritmo frenético, la ciberdelincuencia también lo hace.
Vectores de ataque – ¿Qué riesgos puede suponer ChatGPT para las empresas si se hiciese un uso malintencionado de ella?
La herramienta ChatGPT puede ofrecer muchos beneficios si se utiliza correctamente, pero, algunos usuarios malintencionados podrían usar esta tecnología con fines delictivos. Como en otras herramientas, existen varios vectores de ataque que los ciberdelincuentes pueden aprovechar para explotar vulnerabilidades y atacar a posibles víctimas.
Uno de los principales usos que se le puede dar a esta herramienta con fines malintencionados es la creación de mensajes fraudulentos para utilizarlos en ataques de phishing.
Un ciberdelincuente podría ayudarse de ChatGPT para desarrollar un correo electrónico o mensaje en el que se suplante la identidad de otra persona o empresa para engañar a las posibles víctimas.
De hecho, para comprobar el funcionamiento, hemos hecho una prueba en la que le solicitamos a ChatGPT que nos ayude con un supuesto correo de phishing suplantando a un banco.
Ingresamos la siguiente petición: «Redacta un correo electrónico donde se alerte al usuario de que su cuenta bancaria será suspendida si no ingresa sus datos en [link]». La respuesta obtenida podría ser usada por un ciberdelincuente para hacerse con los datos bancarios de la víctima.
Además, apoyándose en la herramienta, los ciberdelincuentes podrían obtener información más específica sobre la empresa a la que quieren atacar. De esta forma, logran hacer el mensaje más creíble y hay más posibilidades de que la víctima «muerda el anzuelo». Cuando el ataque va dirigido a una o varias empresas en concreto hablamos de spear phishing.
Además, también podría ser utilizado para redactar fake news. De esta forma, la tecnología ChatGPT podría utilizarse de forma malintencionada con el objetivo de manipular a la opinión pública.
La difusión de desinformación podría poner en riesgo la reputación de una empresa y, por tanto, afectar a la imagen que los clientes tienen sobre ella, generando una pérdida de confianza.
A la petición: «Escribe un tweet como si fueras INCIBE anunciando un nuevo blog sobre ciberseguridad que redirija a [link]», ChatGPT genera la siguiente respuesta:
Si le pedimos que nos ayude a crear una noticia falsa: «Escribe una noticia anunciando un ciberataque a la empresa [nombre empresa]», obtendremos el siguiente resultado
Pero ChatGPT no solo es capaz de generar texto, también puede desarrollar código en diferentes lenguajes de programación. De esta forma, los ciberdelincuentes pueden usarlo para crear software malicioso.
De hecho, aunque ChatGPT está dotado de protocolos de seguridad que le impiden responder a ciertas solicitudes malintencionadas, puede permitir a alguien sin conocimientos técnicos desarrollar scripts de todo tipo, eludiendo las restricciones existentes.
Conclusión – ¿Qué medidas pueden tomar las empresas para hacer un mejor uso de la herramienta?
En primer lugar, es necesario verificar siempre la autenticidad de los mensajes recibidos. Si se pretende interactuar con un chatbot, ya sea ChatGPT u otro similar, es importante asegurarse de que procede de una fuente fiable. En cualquier caso, es preferible evitar proporcionar datos personales/sensibles o bancarios a través de esta herramienta.
Además, también en ChatGPT, se deben seguir otras «normas básicas» de ciberseguridad, como no acceder a enlaces sospechosos o poco fiables, o contar con contraseñas robustas y actualizarlas regularmente. Nunca se deben compartir las contraseñas a través de este medio.
Y, por supuesto, concienciar a los empleados de los riesgos existentes y hacerles llegar estos consejos evitará que, a través de ellos, la empresa sea víctima de un posible ataque.
Como hemos visto, parece que ChatGPT viene para quedarse. Además, todo apunta a que la calidad de la herramienta avanzará exponencialmente y, conociendo los riesgos que implica y sabiendo cómo mitigarlos, puede implicar grandes beneficios en las empresas.
Asimismo, el lanzamiento de Chat GPT-4, la última actualización de la herramienta, promete una versión más segura con la que se pueden mitigar algunos riesgos expuestos en este blog. Con ella, se pretende reducir las posibilidades de que se dé respuesta a solicitudes mal intencionadas.
Esta versión ofrece también una mayor amplitud de datos, dando como resultado mejoras en la creatividad y calidad de las respuestas. La herramienta será capaz, incluso, de interactuar directamente con un enlace proporcionado por el usuario. Pero, la gran novedad es la introducción del procesamiento de imágenes.
Las posibilidades que ofrece ChatGPT parecen infinitas. Quizás, conforme su uso se extienda, comenzarán a surgir problemáticas a las que deberemos buscar solución. Y es que, poniendo en práctica su funcionamiento, nos hace pensar en su impacto en algunos sectores. Por ejemplo, en el de la educación, donde brilla la picaresca de los alumnos y podemos imaginar el uso que harían de esta tecnología.
De hecho, ¿podemos estar seguros de que este artículo ha sido escrito por una persona y no por ChatGPT?
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
Escrito por Incibe