En las últimas semanas, OpenAI ha detectado más de 20 ciberataques en los que se ha utilizado ChatGPT y otros modelos de lenguaje avanzados (LLM). La investigación de los ingenieros de la empresa apunta a grupos de hackers procedentes de China e Irán, que han encontrado formas de aprovechar estas herramientas de inteligencia artificial para desarrollar y mejorar malware, así como para realizar otras actividades maliciosas.
El primer incidente vinculado a ChatGPT se atribuye a un grupo de activistas chinos, que pusieron en marcha un ataque contra varios gobiernos asiáticos mediante una estrategia de spear-phishing llamada ‘SweetSpecter’. Este método consistía en un archivo ZIP que contenía un fichero malicioso. Si el archivo era descargado y abierto, el malware se infiltraba en el sistema de la víctima. La investigación reveló que los atacantes utilizaron varias cuentas de ChatGPT para escribir el código del malware y encontrar vulnerabilidades en los sistemas.
Otro de los ataques identificados fue obra de un grupo iraní conocido como ‘CyberAv3ngers’. Este grupo utilizó la tecnología de ChatGPT para explotar fallos de seguridad y obtener las contraseñas de usuarios que utilizaban dispositivos macOS. Un tercer ataque, también desde Irán, fue liderado por un grupo llamado ‘Storm-0817’, que usó dicha IA para desarrollar un software malicioso diseñado para Android, capaz de acceder a contactos, registros de llamadas y al historial de navegación de las víctimas.
Según OpenAI, los métodos empleados por estos grupos no son innovadores y se basan en técnicas ya conocidas en el ámbito de la ciberseguridad. Sin embargo, lo preocupante es lo accesible que resulta hoy en día el uso de la inteligencia artificial para crear herramientas con un alto potencial destructivo, incluso para hackers con conocimientos básicos.
Para combatir esta amenaza, OpenAI ha intensificado sus esfuerzos en mejorar la seguridad de sus herramientas, y ha formado equipos especializados que colaboran con otras empresas y la comunidad en general para frenar el uso malintencionado de la inteligencia artificial. A pesar de estas medidas, la empresa subraya que no solo es su responsabilidad abordar este problema. Las demás compañías que desarrollan modelos de IA generativa también deberían reforzar su seguridad y adoptar medidas similares para evitar que sus tecnologías sean utilizadas con fines ilícitos.