ChatGPT ha hecho visible para muchos usuarios las posibilidades de la inteligencia artificial. Sin embargo, esta tecnología, que podría cambiar, por ejemplo, la manera de buscar en internet y, por lo tanto, amenazar el monopolio de Google en este ámbito, también tiene sus contraindicaciones. Una de ellas es que también es una herramienta para que los ciberdelincuentes logren sus objetivos. En este sentido, los investigadores de Kaspersky han identificado una nueva campaña de malware que se sirve de la popularidad de ChatGPT para robar contraseñas de redes sociales. Los cibercriminales distribuyen el software a través de Facebook, ofreciendo una versión falsa del chatbot. En lugar de ChatGPT, los usuarios son atacados por un troyano denominado Fobo que roba información sensible, como las credenciales de Facebook, TikTok o Google, además de datos personales y bancarios.
Los atacantes crean grupos en redes sociales haciéndose pasar por cuentas oficiales del servicio que en realidad son falsas. Estos grupos fraudulentos publican noticias sobre el servicio y ofrecen un cliente de escritorio de ChatGPT a través de un enlace. Cuando el usuario hace clic sobre el mismo, es redirigido a un sitio web que parece ser el de ChatGPT, donde podrá iniciar la descarga de la aplicación. El proceso de instalación de la falsa app se interrumpirá de forma abrupta. Algunos usuarios pensarán que, por algún motivo, no se ha podido instalar el programa, y no le darán mayor importancia.
Sin embargo, lo que se habrá instalado en el equipo de la víctima es el Troyano-PSW.Win64.Fobo. Está diseñado para el robo de información de cuentas de navegadores como Chrome, Edge, Firefox o Brave, entre otros. El interés de los ciberatacantes es el robo de cookies y credenciales de redes sociales como Facebook, TikTok o Google, especialmente las de empresas. El troyano se hace con los datos de inicio de sesión y trata de robar también de otra información, como las cifras de inversión publicitaria o el saldo de las cuentas comerciales. La campaña de malware se expande a escala mundial y ya se ha detectado en África, Asia, Europa y América.
“Esta campaña utiliza la popularidad de ChatGPT y es un buen ejemplo de cómo los ciberatacantes utilizan técnicas de ingeniería social aprovechando la popularidad de determinadas marcas y servicios. Es importante entender que, aunque parezcan servicios legítimos, en realidad son falsos. Estar informados y mantenerse alerta puede protegernos de este tipo de ataques”, explica Darya Ivanova, experta en seguridad de Kaspersky.
ChatGPT no expone a peligros de todo tipo
Se han glosado las múltiples ventajas y oportunidades que aporta ChatGPT y otros sistemas de inteligencia artificial, pero no se ha hablado tanto de los peligros que puede generar. Prosegur Research ha analizado las implicaciones de ChatGPT desde la perspectiva de la seguridad, y ha identificado los 10 principales riesgos que puede causar el uso de esta aplicación en diferentes ámbitos:
Polarización social: las IA generativas, dada su capacidad de producir contenidos multimedia, pueden ser utilizadas para difundir mensajes de odio o discriminación, así como mensajes de carácter radical o extremista.
Phishing: generación automatizada de correos de apariencia real con objeto de engañar a usuarios a efectos de acceder a información confidencial o a los sistemas informáticos. Hay que tener en cuenta que las IA generativas redactan con gran calidad, lo que invalida las sospechas que sí puede despertar un phishing con baja calidad.
Desinformación: a través de la generación de noticias falsas, se trata de influir en la opinión pública, dañar la cohesión social o afectar a procesos electorales. La desinformación es una clara cuestión que afecta a la seguridad nacional, dañando la cohesión social y los principios democráticos.
Doxing: la desinformación también es susceptible de afectar a empresas y organizaciones, con la difusión de bulos, informaciones sesgadas, la creación de falsos perfiles laborales, o la manipulación de documentos para dañar la credibilidad de las organizaciones. Su finalidad puede ir desde la parodia hasta el ataque a la reputación o la influencia en los mercados.
Fuga de información y robo de datos: empresas como Amazon o Google han alertado a sus empleados sobre los riesgos de compartir información sobre la empresa en ChatGPT y aplicaciones similares, que posteriormente pudiera ser desvelada en las respuestas que ofrece a usuarios.
Fraudes y estafas: son tipologías delictivas que están creciendo con durante estos últimos años. Los fraudes tradicionales, existentes en todos los sectores económicos, son potenciados por el uso de internet, redes sociales y nuevas tecnologías. Las IA generativas pueden contribuir a diseñar fraudes con mucha más calidad, así como a perfilar objetivos.
Generación de chatbots maliciosos con objetivos delictivos: pueden interactuar con individuos para la obtención de información sensible o fines ilícitos económicos.
Suplantaciones de identidad: mediante la utilización de las denominadas “deep fakes” y la capacidad de la IA para generar textos imágenes, videos e, incluso, simular la voz. Con el apoyo de la creación de avatares que integren todos estos elementos, se aumenta la verosimilitud de la identidad.
Generación de código malicioso, como virus, troyanos, malware, ransomware, spyware: el objetivo es cometer ciberdelitos de diferente naturaleza.
Lucha de poder geopolítico y geoeconómico: en un contexto de poderes difusos y fragmentados, el liderazgo ya no sólo se mide por la capacidad económica, la diplomática o la militar. Ya en el año 2017, Vladimir Putin señaló que quien dominara la IA dominaría el mundo. La geopolítica y la geoeconomía presentan nuevos riesgos, pero también oportunidades para estados y empresas que sean capaces de leer el futuro. Los datos, junto a las tecnologías, están en el centro de configuración del poder, lo que genera una asimetría entre quienes disponen de ellos y quienes no.