FraudGPT y WormGPT son dos modelos de inteligencia artificial descubiertos recientemente, los cuales son utilizados por ciberdelincuentes para escribir código malicioso, crear malware indetectable, crear páginas de phishing, herramientas de hackeo o escribir correos de estafas.
Por: Redacción 23 Enero 2024 14:39
Facebook Twitter Email
Estos sitios, también denominados como “gemelos malignos” de ChatGPT, permiten crear scripts y correos maliciosos, por lo cual se han vuelto sumamente atractivos para los ciberdelincuentes o “hackers”, quienes pagan hasta 200 dólares al mes en la DarkWeb para tener acceso a estas herramientas y llevar a cabo actividades ilegales.
FraudGPT fue descubierto por la plataforma Netenrich en julio de 2023, a través de la DarkWeb y canales de Telegram, donde también suele comercializarse. Según describen investigadores en un informe publicado en IJSR CSEIT, este modelo de IA representa un punto de inflexión en los ciberataques maliciosos, debido a que permite crear correos de phishing muy convincentes o páginas web falsas.
En ChatGPT, OpenAI establece ciertos límites e impide realizar determinadas acciones, pero a través FraudGPT y WormGPT, son posibles todo tipo de acciones maliciosas, sin restricciones.
Por su parte, WormGPT, otra IA similar a la anterior, permite crear correos de phishing de forma sencilla. El origen de este LLM se basa en GPT-J, un modelo abierto creado por EleutherAI en 2021.
Algunos investigadores han probado ambas herramientas y las han comparado con ChatGPT, obteniendo resultados muy diferentes.
La diferencia radicó en que ChatGPT sí ofrece el código y el correo de phishing (tras varios intentos y un poco de ingeniería con el prompt), lo hace con un mensaje de advertencia y el correo de phishing no es tan convincente.
Una característica de FraudGPT, es que permiten a los ciberdelincuentes generar estafas sofisticadas y correos maliciosos en cualquier idioma, con un lenguaje prácticamente perfecto, por lo cual, es mas facil que la gente caiga en este tipo de engaños, al no detectar faltas de ortografía.
“Atrás quedaron los días en los que se aconsejaba a los usuarios buscar errores gramaticales, de contexto y de sintaxis obvios para detectar correos maliciosos”, explica Fernando Anaya, de la firma de seguridad Proofpoint.
Según describe Zac Amos, de ReHack: “FraudGPT es un importante recordatorio de cómo los ciberdelincuentes seguirán cambiando sus técnicas para lograr el máximo impacto”.
¿Qué pueden hacer FraudGPT y WormGPT?
Estas versiones maliciosas de ChatGPT, ponen en peligro la seguridad y la privacidad de los usuarios al efectuar lo siguiente:
Generar correos electrónicos y mensajes de texto falsos para engañar a las víctimas y obtener sus datos personales, financieros o de acceso a sus cuentas. Pueden imitar el estilo y el tono de personas o entidades reales, y pueden incluir enlaces o archivos adjuntos maliciosos.
Crear páginas web fraudulentas que simulan ser sitios oficiales o de confianza, y que solicitan a los usuarios que introduzcan sus datos o que realicen algún pago. Estas páginas pueden tener un diseño y un contenido muy convincentes, y pueden usar dominios similares a los originales.
Escribir código malicioso que puede infectar los dispositivos de los usuarios, robar su información, bloquear su acceso o realizar otras acciones dañinas. Este código puede estar oculto en archivos, enlaces o imágenes, y puede ser indetectable por los antivirus.
Crear herramientas de hacking que pueden explotar las vulnerabilidades de los sistemas informáticos, acceder a los datos o controlar los dispositivos de forma remota. Estas herramientas pueden ser personalizadas según las necesidades del usuario.
La aparición de estas herramientas ha evidenciado un crecimiento en la cibercriminalidad, debido a que su uso está cada vez más perfeccionado y segmentado. A pesar de que la IA tiene muchos beneficios, expertos advierten sobre el potencial desarrollo de malware más sofisticado gracias a la IA generativa, debido a que, aunque los delincuentes no cuenten con un gran conocimiento técnico, pueden preparar campañas maliciosas de todo tipo con una probabilidad de éxito considerable.
Ademas, el abuso de la inteligencia artificial en la creación de contenido engañoso y material sensible, como la pornografía no consentida, preocupa a expertos en derecho y ética digital.
¿Cuáles son las recomendaciones para detectar este tipo de estafas cibernéticas?
Es importante usar la intuición al verificar la veracidad de la fuente, el texto y el contenido (examinar el emisor, el dominio, la fecha de publicación, así como cualquier firma o certificado que pueda respaldar la autenticidad de la información proporcionada.)
Se recomienda buscar información complementaria y contrastarla con fuentes confiables. Es fundamental
Evitar abrir o descargar archivos, enlaces o imágenes sospechosas, así como abstenerse de proporcionar datos personales, financieros o de acceso en sitios web desconocidos.
Con estas prácticas será más fácil detectar posibles manipulaciones y engaños elaborados por inteligencia artificial.