Marta Mallavibarrena

La Inteligencia Artificial (IA) es ya una temática recurrente en este blog. Y es que, además de ser una de las tecnologías digitales con las que trabajamos en Telefónica Tech, prácticamente la totalidad de las predicciones de tendencias tecnológicas para los próximos años la incluyen como uno de los avances clave. En mi anterior artículo, abordábamos el papel que estas tecnologías pueden jugar en la creación y difusión de desinformación y noticias falsas. En dicha ocasión, las protagonistas eran herramientas como DALL-E o GauGAN2 para la generación de imágenes. Entonces ya mencionábamos algunas herramientas de texto, pero fue a finales de año pasado cuando apareció una nueva herramienta en escena que está acaparando titulares desde entonces: ChatGPT. Hace unas semanas, nuestra compañera Mercedes Blanco nos introducía al funcionamiento de ChatGPT y abordaba algunas de sus aplicaciones en el mundo de los negocios. En esta ocasión, sin embargo, nos centraremos en lo que esta herramienta, y otras como ella, pueden suponer para la Ciberseguridad. Como en todo avance tecnológico, sus consecuencias pueden ser beneficiosas tanto para los equipos de seguridad, como para quienes se aprovechan de ello para fines más cuestionables. ChatGPT en la investigación de seguridad Preguntándole a la herramienta, ella misma nos informa de las numerosas formas en que puede ser de utilidad a los servicios de inteligencia de amenazas, que se pueden resumir en: Proporcionar información y actuar como una herramienta de búsqueda avanzada. Apoyar la automatización de tareas, reduciendo los tiempos dedicados a aquellas que sean más mecánicas y requieran de menor detalle de análisis. Imagen 1: captura de pantalla de una conversación con ChatGPT sobre el tema del artículo Hace tiempo que la inteligencia artificial se abrió paso en las herramientas de ciberseguridad. Algunos ejemplos los encontrábamos en nuestro Trending Techies del pasado noviembre, como el proyecto presentado por Álvaro García-Recuero para la clasificación de contenidos sensibles en internet. En el caso de ChatGPT, Microsoft parece estar liderando los esfuerzos de integración en sus servicios, como su buscador Bing y Azure OpenAI Service o, más centrado en ciberseguridad, el caso de Microsoft Sentinel, que podría ayudar a agilizar y simplificar la gestión de incidentes. Otros investigadores apuestan por su uso para la creación de reglas que puedan detectar comportamientos sospechosos, como reglas YARA. Google, por su parte, ha optado por lanzar su propia herramienta llamada Bard, que se implementaría en su motor de búsqueda en un futuro no muy lejano. CYBER SECURITY Así gané un desafío Capture the Flag resolviendo los retos desde mi móvil 9 de febrero de 2023 ChatGPT en el cibercrimen En el lado opuesto de la ciberseguridad también podemos encontrar múltiples aplicaciones de herramientas como ChatGPT, a pesar de que, en un principio, están diseñadas para evitar que su uso para fines ilícitos. A principios de enero de 2023, investigadores de CheckPoint informaban de la aparición de publicaciones en foros clandestinos en las que se discutían métodos para evitar las restricciones de ChatGPT para crear malware, herramientas de cifrado o plataformas de compraventa en la deep web. En lo que a la creación de malware se refiere, los investigadores que han tratado de realizar pruebas de concepto han llegado a la misma conclusión: ChatGPT es capaz de detectar cuando una petición pregunta directamente por la creación de código malicioso. Sin embargo, replantear la petición de una forma más creativa permite evadir estas defensas para crear malware polimórfico, o keyloggers con algunos matices. El código generado no es perfecto ni está totalmente completo, además, se basará siempre en el material con el que se haya entrenado a la inteligencia artificial, pero sienta la abre las puertas a la generación de modelos que puedan desarrollar este tipo de malware. Imagen 2: respuesta de ChatGPT sobre la creación de malware a través de IA Otro de los posibles usos ilícitos que se han planteado con ChatGPT es el fraude o la ingeniería social. Entre el contenido que estas herramientas pueden generar se encontrarían correos de phishing diseñados para engañar a las víctimas y hacer que descarguen archivos infectados o accedan a enlaces en los que pueden comprometer sus datos personales, información bancaria, etc. Sin necesidad de que el autor de la campaña domine los idiomas empleados en ella, o tenga que redactar manualmente ninguno de ellos, generando automáticamente nuevas temáticas en las que basar el fraude. En general, sea la herramienta capaz de entregar código o contenido completo y preparado para emplearse o no, lo que sí es seguro es que la accesibilidad a programas como ChatGPT puede reducir la sofisticación necesaria para llevar a cabo ataques que, hasta ahora, requerían un conocimiento técnico más amplio o unas habilidades más desarrolladas. De esta forma, actores amenaza que antes se limitaban a lanzar ataques de denegación de servicio, podrían pasar a desarrollar su propio malware y distribuirlo en campañas de phishing por correo electrónico. CYBER SECURITY El estado de la Ciberseguridad: amenazas, riesgos y vulnerabilidades 13 de febrero de 2023 Conclusiones Los nuevos modelos de IA como ChatGPT, al igual que cualquier otro avance en tecnología, pueden tener aplicaciones tanto para apoyar el progreso y mejorar la seguridad, como para atacarla. Por el momento, los casos de uso reales de este tipo de herramientas para cometer crímenes en el ciberespacio son anecdóticos, pero nos permiten imaginar el posible panorama de ciberseguridad por venir en los próximos años. La actualización constante de conocimientos se vuelve, una vez más, imprescindible para los investigadores y profesionales en el campo de la tecnología. "El gran peligro de la Inteligencia Artificial es que la gente llega demasiado pronto a la conclusión de que la entiende." Eliezer Yudkowsky Imagen de apertura: Jonathan Kemper / Unsplash

En el panorama actual se descubren decenas de vulnerabilidades cada día (una media de 50 en 2021), y los atacantes encuentran nuevas e ingeniosas formas de aprovecharlas. Es obvio que desde el sector de la ciberseguridad es necesario igualar los esfuerzos para evitar que estos ataques tengan éxito. Esta carrera tecnológica ha llevado a innumerables avances y desarrollos en la infraestructura tecnológica de empresas e instituciones, pero no podemos olvidar un factor crítico: las personas, sistemas con cientos de vulnerabilidades conocidas desde el inicio de los tiempos, en su gran mayoría sin corregir. Según datos recogidos por Proofpoint, un 20% usuarios habría interactuado con correos electrónicos que contenían archivos maliciosos, y otro 12% habría accedido a los enlaces facilitados en dichos correos. Diversas fuentes señalan el porcentaje de fugas de información producidas por empleados entre el 88% y el 95%. Ignorar este factor humano en ciberseguridad supone un enorme riesgo para las organizaciones. ¿Por qué ocurre? A pesar de que existen infinitas causas y motivaciones por las que una acción humana puede desencadenar un incidente de seguridad, desde un insider que intencionalmente comparte información de la compañía, a un error accidental que deja expuesta la información, el foco de este artículo son aquellos casos en los que existe una intencionalidad por parte de un atacante, pero no por parte de la víctima. Ejemplos más comunes de este tipo de casos son: campañas de phishing, vishing (por teléfono) o smishing (por SMS). Las técnicas empleadas en este tipo de ataques no han cambiado demasiado con el tiempo. Los mismos métodos que empleaba Frank Abagnale Jr. en los años 60 o Kevin Mitnick entre los 80 y los 90 para llevar a cabo los fraudes que les hicieron famosos, son igual de efectivos hoy en día. Algunos de ellos, como los planteados por Cialdinni, se siguen empleando en marketing y comunicación, e incluso los hemos tratado con anterioridad en el blog. Si crees que la tecnología puede solucionar tus problemas de seguridad, ni entiendes los problemas ni entiendes la tecnología. Bruce Schneier Al conjunto de técnicas y procedimientos empleados para tratar de motivar al usuario para realizar alguna acción en favor de los cibercriminales se le conoce como Ingeniería Social. A pesar de que también se le denomina con otros nombres más artísticos, como “manipulación mental” o “human hacking”, no es más que una aplicación más de la persuasión o el cambio de actitudes. En este contexto, desde la psicología se plantea el Modelo de Probabilidad de Elaboración (ELM por sus siglas en inglés). El nivel de elaboración de una persona se basa en dos factores: su capacidad para entender el mensaje, y su motivación para hacerlo. Siendo sinceros, al leer el correo electrónico el lunes por la mañana antes del primer café, no tenemos ninguna de las dos cosas. CYBER SECURITY Riesgos de no tener una exposición de información controlada (I) 12 de enero de 2022 Los cambios de actitud producidos en un sujeto en alta elaboración se procesan por la llamada “vía central”, y son más profundos y duraderos en el tiempo, pero requieren de argumentos más fuertes para surtir efecto. Por suerte para los cibercriminales, es suficiente con que dure los segundos necesarios para que las víctimas sigan un enlace o introduzcan sus credenciales, por lo que no es necesario que la víctima esté prestando demasiada atención. Esta combinación de factores hace que un empleado bajo el efecto de factores como el cansancio, el estrés o el sueño sea la víctima perfecta de la ingeniería social. Lo que no quiere decir necesariamente que de estar en perfectas condiciones no podamos caer víctima de las mismas técnicas, pero sí nos hace enormemente vulnerables. ¿Qué podemos hacer al respecto? Dejando de lado el componente puramente tecnológico, y centrándonos en el humano, tanto empresas como usuarios podemos tomar medidas para tratar de reducir el éxito de estas técnicas de ingeniería social, como realizar campañas de conciencias y formación en la detección de mensajes y actividad fraudulenta u ofrecer vías de denuncia para que los usuarios puedan alertar en caso de detectarla, entre otras. Como usuarios, también a nivel personal, es importante ser conscientes de nuestra huella digital: la información disponible sobre nosotros mismos en el ciberespacio puede ser utilizada para dirigir con mayor precisión ataques que empleen la ingeniería social. CYBER SECURITY Ingeniería social, el ciberataque más común en la red 20 de febrero de 2020

Fake News, palabra del año 2017 según el diccionario Collins y repetida hasta la saciedad tanto en medios como redes sociales. Incluso en este blog le hemos dedicado numerosas entradas, señalando posibles riesgos derivados de su uso, así como el papel de la tecnología en su detección. En este caso, la intención es ver la problemática desde el otro lado: cómo el desarrollo tecnológico, incluyendo el de los sistemas empleados para identificar las notificas falsas, en realidad están contribuyendo a hacerlas cada día más reales. Sin entrar en detalles concretos del funcionamiento técnico de estos algoritmos, lo que se pretende es mostrar, a través de ejemplos, demostrar el proceso de crear una noticia totalmente falsa desde cero con el mínimo esfuerzo humano posible, dejando que la tecnología haga el resto. Creando a nuestro personaje principal Toda noticia necesita un protagonista, y éste, un contexto. Gracias a plataformas como this X does not exist, en un par de clicks podemos tener su cara, su mascota o su currículum. Ninguna de las imágenes generadas habría existido hasta que hagamos “click” y dejará de existir cuando refresquemos la página. Cassidy T. Pettway, 57 años de Brighton, Colorado. Imagen generada automáticamente a través de thispersondoesnotexist.com Sundae, uno de los 4 gatos de Cassidy Imagen generada automáticamente a través de thiscatdoesnotexist.com Ante la falta de imaginación para añadir detalles como nombre, nacionalidad, residencia, etc. También podemos recurrir a otros recursos gratuitos como fakepersongenerator.com o fauxid.com. Sí, para el gato también. La limitación de este tipo de enfoque es que no podemos construir una identidad completa a partir de una única fotografía, y dado que Cassidy en realidad no existe no podremos pedirle que se haga más. Para solventar este inconveniente aparecen las técnicas de morphing que permiten obtener diferentes ángulos de la misma fotografía, cambiar su expresión, aumentar o reducir su edad, etc. Se trata de tecnologías similares a las que emplean aplicaciones como FaceApp, que hace unos años tuvieron a miles de usuarios en redes sociales mostrando “como serían con 80 años”. También son las culpables de muchos dolores de cabeza para los agentes fronterizos en todo el mundo, ya que las imágenes generadas se parecen suficiente a la imagen original para que el ojo humano las identifique como la misma persona, pero pueden evadir sistemas biométricos. Imagen: ejemplo de imágenes modificadas por SofGAN. Fuente: apchenstu.github.io/sofgan/ Ahora que ya tenemos suficientes fotos de nuestro personaje principal, también podemos añadirle un fondo, un contexto. Si no queremos preocuparnos porque alguien pueda reconocer la imagen original que hemos usado en nuestro montaje, podemos describirle el paisaje a DALL·E (versión mini disponible en su web) o, si preferimos sacar nuestro lado artístico, dibujarla en GauGAN2 de Nvidia. Imagen: input y output de GauGAN 2, generando imágenes realistas a partir de dibujos simples. Fuente: gaugan.org/gaugan2/ Mención especial merece el motor de videojuegos Unreal Engine 5, entre otros, ya que, si bien permiten crear escenarios y ambientes capaces de engañar a cualquiera, requieren mucho más esfuerzo por parte del creador que los ejemplos que se exponen en este post. Un ejemplo reciente es la recreación de la estación de tren de Toyama, Japón, creada por el artista Lorenzo Drago. Desarrollando y compartiendo la noticia Ahora que le hemos puesto cara a Cassidy, es hora de que cumpla su función como creadora, difusora o incluso protagonista de falsos contenidos. Si tampoco nos vemos con ánimo literario para redactarla nosotros mismos, también hay algoritmos para ello. Plataformas como Smodin.io pueden generar artículos o ensayos de una extensión y calidad considerable indicando únicamente el título. Puede, o puede que no, que le pidiera ayuda para redactar este post. Si enfocásemos nuestra estrategia de desinformación a suplantar a otra persona en lugar de crearla de la nada, también hay sistemas entrenados para imitar estilos de escritura. En 2017 se viralizó el capítulo de Harry Potter generado por Botnik Studios imitando el estilo de su autora original. Si en lugar de un artículo propiamente dicho quisiéramos hacer una campaña de desinformación en redes sociales, podemos crear pequeños fragmentos de texto con la demo de Inferkit.com. Perfectas para un tweet o un comentario en Facebook. ¿Y si Cassidy se dedicase a desmentir que el hombre llegó a la luna? Imagen: texto generado por Inferkit.com – En gris: texto indicado por el usuario. En verde: texto agregado a través de inteligencia artificial. Fuente: app.inferkit.com/demo En muchas ocasiones ni siquiera es necesario crear un usuario en las redes para que publique realmente el contenido, basta con una captura de pantalla indicando que lo ha hecho. Puede ser una conversación de WhatsApp, un comentario en Facebook o incluso su perfil de Tinder. Para subir nota Después de generar imágenes estáticas y texto, si quisiéramos subir un nivel más en nuestra creación de noticias falsas, podríamos recurrir al vídeo y el sonido. Los ya conocidos deep fakes son una herramienta muy útil en ambos casos. En el blog ya se ha comentado con anterioridad como se emplean en el cine, para suplantar la identidad de alguien o realizar un “fraude al CEO”. Además de estas técnicas, más enfocadas en la suplantación o imitación de otra imagen o sonido, existen plataformas capaces de crear nuevas voces: algunas desde cero, como This Voice Does Not Exist; otras nos permiten realizar ajustes sobre voces previamente creadas como Listnr.tech; y otras crear nuevas voces a partir de la nuestra, como Resemble.ai. Conclusión Si bien la amenaza de la desinformación y las noticias falsas lleva siglos presente, gracias al desarrollo tecnológico, ahora somos capaces de generar la imagen de una persona en un solo click, darle una mascota, un trabajo y un hobby en otros tres, inculcarle ciertas ideas en otros tantos y finalmente darle voz. Tareas que antes requerían de un gran esfuerzo manual por la parte interesada en crear y difundir la información, ahora pueden automatizarse y realizarse en masa. Esto también implica que ahora estas campañas se encuentran al alcance de cualquiera, y no se limitan a gobiernos y grandes empresas. Mientras la tecnología no consiga estar a la altura de detectar lo que ella misma crea, la única solución posible se basa en la concienciación y el pensamiento crítico de los usuarios, que comienza conociendo las amenazas a las que se enfrenta. “Our technological powers increase, but the side effects and potential hazards also escalate”. - Alvin Toffler. Future Shock (1970)