Según experto en seguridad digital, la Inteligencia Artificial – IA, podría agudizar la inseguridad cibernética, según quien la utilice.
El Político
Los especialistas en ciberseguridad son cautelosamente optimistas, sobre la nueva ola de innovaciones generativas de Inteligencia Artificial – IA, como el caso de ChatGPT. Mientras que los actores malintencionados ya están experimentando con ella, de forma maliciosa.
Los líderes cibernéticos ven múltiples formas en que la IA generativa puede ayudar a la defensa de las organizaciones.
Como por ejemplo, revisar el código para verificar la eficiencia y las posibles vulnerabilidades de seguridad. Explorar nuevas tácticas que podrían emplear los actores malintencionados. Así como también, automatizar tareas recurrentes, como escribir informes.
¿Es #ChatGPT una amenaza para tu seguridad digital?
Esta herramienta de inteligencia artificial ha causado furor en las redes sociales.
Pero también tiene un lado oscuro que cambiaría el panorama de la ciberseguridad.
Va #CiberHilo? pic.twitter.com/u1vHhRlND4
— CycuraMX?️ | Negocios ciberseguros (@CycuraMX) January 13, 2023
Una ayuda para mejorar la seguridad digital
En este sentido, Jim Reavis, cofundador y director ejecutivo de Cloud Security Alliance, escribió: "creo que la atención que ChatGPT está recibiendo actualmente nos ayudará a crear mejores prácticas de seguridad de inteligencia artificial y aprendizaje automático".
Por su parte, Justin Shattuck, director de seguridad de la información, en Resilience Insurance, comentó que: "estoy realmente entusiasmado con lo que considero que es, en términos de ChatGPT, una especie de nueva interfaz. Mucho de lo que hacemos constantemente es filtrar el ruido. Y creo que usar el aprendizaje automático nos permite atravesar ese ruido más rápido. Y luego también identificar patrones que los humanos normalmente no notamos".
Adicionalmente, Chris Anley, científico jefe de la empresa de seguridad de TI NCC Group, ha expresado que: "los sistemas de IA generativa basados en texto, son excelentes para la inspiración. No podemos confiar en ellos en asuntos fácticos. Y hay algunos tipos de preguntas que actualmente no son fáciles de responder. Pero estos sistemas son muy buenos para hacernos mejores escritores, e incluso mejores pensadores".
https://t.co/LjjMqdACKT La revolución digital y los avances tecnológicos han logrado automatizar muchos procesos. La inteligencia artificial logró fusionar la seguridad y la publicidad. Aquí le contamos. #FelizMiercoles @ProsegurIS @ProsegurAR pic.twitter.com/i0a6DRWt5Z
— mallyretail (@Mall_y_retail) February 8, 2023
Verificación de la realidad
La idea de usar chatbots para revisar o escribir código seguro ya ha sido cuestionada por algunos expertos e investigadores.
Un estudio de Stanford, publicado en noviembre pasado, mostró que los asistentes de IA llevaron a los codificadores a crear un código más vulnerable: "en general, descubrimos que los participantes que tenían acceso a un asistente de IA, basado en el modelo codex-davinci-002 de OpenAI, escribieron un código significativamente menos seguro que aquellos sin acceso".
"Además, los participantes con acceso a un asistente de IA tenían más probabilidades de creer que escribieron un código seguro, que aquellos sin acceso al asistente de IA".
Anley realizó un experimento la semana pasada y le pidió a ChatGPT que encontrara vulnerabilidades en varios niveles de código de seguridad defectuoso. Encontró una serie de limitaciones: "como un perro que habla, no es notable porque es bueno. Es notable porque lo hace".
Sin embargo, el uso de IA generativa para revisar el código parece particularmente peligroso para algunos expertos.
Ian McShane, vicepresidente de estrategia de la firma de seguridad Arctic Wolf y exanalista de Gartner, se pregunta: "¿cómo diablos los ingenieros de software pegan su código en algo que no les pertenece? ¿Llamarías a Steve Jobs al azar en la calle y le dirías: ‘oye, ven y echa un vistazo a mi auditoría financiera? ¿Puedes decirme si algo anda mal?'".
Sistemas de aprendizaje profundo como ChatGPT son herramientas que ofrecen simplificar la vida de los humanos #NotaPlus https://t.co/M41PiOerzL
— El Universal (@El_Universal_Mx) February 13, 2023
Seguimos en un proceso de aprendizaje
Pero McShane encuentra beneficios en la interfaz de usuario de chatbot accesible, para reducir la barrera de entrada a la seguridad. Aunque las incógnitas sobre la información y la transparencia del conjunto de datos también lo hacen tener cautela.
McShane agrega que: "lo que no debe perderse de vista es que esto sigue siendo un aprendizaje automático, o aprendizaje automático para entrenar. Pero a partir de los datos que se proporcionan. Y sobre esto, no hay mejor frase que ‘basura entra, basura sale'".
Mientras tanto, los piratas informáticos y los actores maliciosos, siempre al acecho para encontrar nuevas formas de acelerar sus operaciones, se han apresurado a incorporar la IA generativa en los ataques.
En este sentido, los investigadores de Check Point Research detectaron piratas informáticos maliciosos el mes pasado, que usaban ChatGPT para escribir malware, crear herramientas de cifrado de datos y escribir código creando nuevos mercados de la web oscura.
"Los sistemas de IA recientes son excelentes para generar texto con un sonido plausible. Pueden generar variaciones sobre un tema de forma rápida y sencilla, sin errores ortográficos o gramaticales reveladores", dice Anley. "Esto los hace ideales para generar variaciones de correos electrónicos de phishing".
“Creo que la inteligencia artificial es algo sobre lo que deberíamos preocuparnos bastante y estar realmente atentos a la seguridad de la IA, usted mencionó un ChatGPT antes, usted sabe, jugué un papel importante en la creación de OpenIA así que creo que tenemos que regular la pic.twitter.com/ya8xPdh1lY
— Cerebros (@CerebrosG) February 16, 2023
El resultado final
Shattuck sostiene que las organizaciones que exploran el uso de la IA deben observar a través de la exageración más grande y "comprender las limitaciones, como realmente entender dónde está".
"No es una talla única para todos", dice. "No intentes aplicarlo a algo que no es. No lo empujes a la producción mañana".