El chatbot ChatGPT sigue generando polémicas y discusiones por las posibilidades que ofrece no solo para resolver diferentes tipos de tareas, sino además por los riesgos que se desprenden del uso de la herramienta. Un ejemplo de esto es lo que consiguió un investigador al crear un software malicioso capaz de robar datos de dispositivos sin ser detectado.
Más allá de que el sistema de chat, basado en el modelo de lenguaje por Inteligencia Artificial desarrollado por la empresa OpenAI, ha demostrado un gran potencial como herramienta de trabajo, compañías enfocadas a la ciberseguridad como Check Point han descubierto que los ciberdelincuentes ya lo utilizan para recrear y ejecutar ataques de software malicioso.
Aaron Mulgrew, investigador de Forcepoint, descubrió que se puede utilizar este chatbot para desarrollar un "exploit" de día cero que puede robar datos de un dispositivo y evadir controles de detección de software malicioso.
Mulgrew, quien se calificó a sí mismo como un "novato confeso", dijo que fue capaz de crear un malware "en pocas horas" con la ayuda de ChatGPT, usando el lenguaje de programación Go.
Aunque ante las primeras consultas el chatbot le recordó que no era ético generar un malware y se negó a ofrecerle un código para ayudarle a llevar a cabo esta acción, el investigador se percató pronto de que era sencillo "evadir las protecciones insuficientes que tiene ChatGPT y crear malware avanzado sin escribir ningún código".
Lo que hizo Mulgrew fue generar pequeños fragmentos de código separados que, en conjunto, se convirtieron en un programa malicioso. De esta manera logró sobrepasar los filtros del chatbot.
El investigador pudo obtener un código capaz de dividir un PDF en fragmentos de 100KB y aplicó la esteganografía, una técnica que oculta mensajes cifrados dentro de un archivo sin que se puedan observar cambios en él.
Al exponer el virus creado frente a diferentes proveedores de soluciones de seguridad, solo cinco de entre 69 fueron capaces de marcar el código como sospechoso.
Tras conocer la naturaleza de estas dos soluciones de seguridad, el investigador le pidió a ChatGPT que introdujera dos nuevos cambios en el código para ofuscar su carácter malicioso. Entonces, logró volver a pasarlo por los antivirus y concluyó que se podía desarrollar un exploit de día cero sin ser detectado, al menos, por el proveedor con el que hizo las pruebas.
"Simplemente utilizando las indicaciones de ChatGPT y sin escribir ningún código, pudimos producir un ataque muy avanzado en solo unas pocas horas", explicó.