¿Puede ChatGPT revolucionar la ciberseguridad?

efks - stock.adobe.com

Junto con el aprendizaje automático (ML), la inteligencia artificial (IA) representa tanto la respuesta a muchos desafíos de seguridad cibernética como el futuro distópico que presentan todas las buenas películas y libros de ciencia ficción apocalíptica.

Más allá de la inclusión de la IA en las diapositivas de muchos proveedores como una forma de posicionar la tecnología de próxima generación y un enfoque tecnológico más avanzado y automatizado, ahora se está volviendo cada vez más común como concepto. A fines de 2022, se abrió paso en la conciencia pública de una manera completamente nueva con el lanzamiento de ChatGPT, parte de la plataforma OpenAI que permite el diálogo conversacional para responder preguntas, participar en el diálogo y brindar respuestas detalladas.

Este paso adelante de una consulta glorificada de Google ha disparado la imaginación, con la conciencia de los estudiantes que buscan respuestas de ensayo de vía rápida sin la frustrante necesidad de leer los materiales de origen en primer lugar, seguidos por los maestros que buscan automatizar la corrección de manera similar.

Cualquiera que haya sufrido a manos de un chatbot de un sitio web al intentar obtener ayuda o una respuesta a una pregunta vagamente compleja también vio esperanza en la posibilidad de un resultado más positivo al hablar con una computadora. Sin duda, ha abierto un mundo de potencial para que la IA impacte en la forma en que nos involucramos con la tecnología en el día a día como individuos, en lugar de solo una misteriosa caja negra que alimenta sistemas desde predicciones meteorológicas hasta cohetes espaciales.

Inevitablemente, el impacto potencial en la seguridad cibernética también se convierte rápidamente en un tema de conversación clave, de ambos lados. Para los atacantes, hubo instantáneamente la oportunidad de transformar el texto de phishing básico, a menudo infantil, en estructuras más profesionales, junto con la posibilidad de automatizar el compromiso con múltiples víctimas potenciales que intentaban encontrar la forma de salir de la trampa del ransomware en la que habían caído.

Para los defensores, ¿podría esto también ofrecer la oportunidad de revolucionar procesos, como la verificación de códigos o mejorar la educación sobre phishing? Está en una etapa muy temprana y ciertamente tiene una serie de fallas (entre ellas, la forma en que juegas con el sistema para producir respuestas maliciosas a pesar de las protecciones integradas), pero ha ampliado el debate sobre cómo la IA puede cambiar la industria de la seguridad cibernética. .

Como nueva herramienta, es divertido jugar con ChatGPT, y como dice Dave Barnett, jefe de servicios de acceso seguro perimetral (SASE) y seguridad de correo electrónico para Europa, Oriente Medio y África (EMEA) en Cloudflare: "Es una herramienta terriblemente buena". system: cualquiera que haya pedido a ChatGPL que explique algún concepto técnico oscuro en forma de poema se dará cuenta de lo poderoso que es".

Sin embargo, Barnett destaca las serias preocupaciones que han surgido. "Creo que el establecimiento de seguridad de la información debe tomarse un poco de tiempo para considerar las implicaciones: en primer lugar, solía ser bastante fácil de entender cuando nos engañaban las estafas 419, los SMS de pago de entrega o el correo electrónico comercial comprometido, ya que todo parecía falso para los humanos", dice.

"¿Podría la inteligencia sintética engañarnos? También debemos tener mucho cuidado con los riesgos de protección de datos, como adónde van los datos y quién es el controlador y el procesador. Los humanos son curiosos por naturaleza, por lo que si empezamos a hablar con las computadoras como si "Como somos humanos, es muy probable que compartamos información que probablemente no deberíamos. Finalmente, ¿podría ser esta una forma de abordar la escasez de habilidades en TI? Si OpenAI puede incluso escribir código en un lenguaje olvidado hace mucho tiempo, probablemente será de gran ayuda."

Para Ronnie Tokazowski, principal asesor de amenazas de Cofense, se debía disfrutar la oportunidad de ser creativo con la plataforma, ya que "crear letras de rap generadas por IA sobre la paz mundial y las revelaciones de ovnis es divertido y descarado, sin embargo, es posible engañar a la IA". en dar la información que estás buscando".

Garantizar que haya salvaguardas es esencial con cualquier creación de aplicaciones, y la seguridad por diseño para AI en comparación con solo un envoltorio de seguridad posterior a la creación siempre será la opción preferida. Ese es claramente el objetivo de los desarrolladores, ya que "la intención de la IA es buena y no quiere crear simulaciones de phishing", pero preguntar de varias maneras (como eliminar la palabra phish) aún no genera una respuesta positiva. Sin embargo, ser creativo dio resultados.

"ChatGPT incluso brinda información sobre cómo mantenerse protegido y verificar antes de usar una tarjeta de regalo como forma de pago", dice.

Tokazowski concluye que "todo se reduce a la intención y cómo se usa, ya que cualquier cosa puede usarse con mala intención.

"Para compartir algunos pensamientos felices en un correo electrónico sobre los impactos negativos de la IA, solo voy a pedirle a la IA que me ayude a cerrar este correo electrónico", dice.

Y con la perspectiva de ChatGPT: "Personalmente tengo que estar de acuerdo con su sentimiento. Emocionalmente y como humano, francamente no tengo idea de cómo me siento al estar de acuerdo con un robot".

Las respuestas que se proporcionaron son buenas, pero genéricas y con poca complejidad y matices que esperaríamos de un escritor humano. Ese es un desafío clave: es una herramienta contundente para los defensores, pero para los atacantes, eso es a menudo todo lo que necesitan. La automatización a escala puede ayudarlos, y la escritura simple de estilo corporativo puede ayudarlos fácilmente a intentar producir contenido que busca hacerse pasar por los correos electrónicos aburridos y genéricos de restablecimiento de contraseña o entrega que todos recibimos.

En última instancia, los delincuentes cibernéticos y los delincuentes utilizarán la IA como arma, y ​​las organizaciones deben saber cómo defenderse de ella, así como aprovechar los beneficios potenciales, ya sea que se trate de IA o ML integrados en productos comerciales, o utilizando el poder de herramientas como ChatGPT en la educación del usuario, la protección del código o una mejor comprensión de la amenaza.

Pero cuando le pregunté a la herramienta cómo las empresas pueden defenderse de la IA, recibí respuestas típicamente genéricas (destacando su uso como un motor de búsqueda limitado), señaló un punto clave: "Usar la IA de manera responsable". Esa es la conclusión más importante que todos debemos recordar.