La intel·ligència artificial conversacional ha creat alerta entre els professionals de tots els sectors. Els periodistes temen que puguin escriure notícies; els docents, que facilitin la còpia; els sanitaris, que ofereixi diagnòstics sense contrast... I els experts en ciberseguretat no queden al marge del paradigma que s’obre, ja que eines com ChatGPT poden servir per crear codi maliciós o detectar escletxes en infraestructures que permetin iniciar un atac. Així ho alerta el Llibre blanc sobre la Intel·ligència Artificial aplicada a la Ciberseguretat, elaborat per l’Agència de Ciberseguretat de Catalunya i el Centre of Innovation for Data Tech and Artificial Intelligence (CIDAI), que alerta d’un possible creixement exponencial de les amenaces a la xarxa i del nombre de cibercriminals. I és que amb una simple cerca a YouTube, es poden trobar vídeos que demostren com la solució creada per OpenAI pot generar els recursos necessaris per a una campanya de phishing o per canviar el xifratge criptogràfic dels mecanismes de seguretat tradicionals.

La base de ChatGPT és el machine learning, que significa que aprèn a mesura que s’empra la plataforma i que rep nova informació. “Aquesta lògica aplica també al codi maliciós”, apunta el responsable del Servei de Ciència i Analítica de Dades de l’Agència de Ciberseguretat de Catalunya, Santi Romeu, “no se li pot demanar directament que creï un malware per accedir a un sistema o robar dades, però sí que pot respondre a preguntes més neutres que podria fer qualsevol administrador de xarxes per al manteniment”. Aquesta informació tant es pot utilitzar per a la gestió i la millora d’infraestructures, com per transgredir-les, per això la solució les considera vàlides i les respon. “Com que l’eina també contextualitza, pot oferir resposta a una segona i tercera pregunta que vagin en la línia i que, quan s’ajunten les informacions que dona com si fos un puzle, el resultat final pot ser el codi per a una campanya de pesca de credencials”, continua.

Els criminals enganyen ChatGPT fraccionant l’objectiu final en preguntes diverses perquè l’eina no detecti el propòsit real

Aquesta dinàmica de trossejar l’objectiu final en preguntes diverses per ajuntar els resultats finals pot derivar en l’obtenció de peces que ofereixin el codi complet per identificar els actius d’una xarxa; obtenir cookies que facilitin la suplantació d’una identitat; escriure codi per copiar subdominis d’una pàgina o, entre altres, oferir l’arquitectura d’un lloc web o un sistema perquè detecti escletxes per on entrar. “Cal una mica de perícia, però és clarament factible”, reconeix l’expert.

Obrir la porta a nous criminals

Malgrat que la IA conversacional permet generar codi, el seu ús amb objectius il·lícits no està a l’abast de tothom. “Hi ha gent que no sap programar, però sí que sap identificar peces de codi i ajuntar-les. Amb aquest coneixement, si es té la motivació i el temps necessari, es pot obrir l’oportunitat a lucrar-se amb la ciberdelinqüència”, apunta Romeu, qui creu que a mesura que augmentin els coneixements informàtics de la ciutadania, “hi haurà més possibilitats que els programadors dolents siguin bons amb eines com ChatGPT”. No obstant això, també farà que els hackers ètics i els professionals del sector “siguin més bons”, afegeix.

Amb nocions bàsiques de codi, es poden ajuntar les peces sorgides de les respostes per crear noves amenaces

Aquest futur pròxim també implica un increment dels atacs, especialment els de phishing, que segons el security evangelist d’Avast, Luis Corrons, són més fàcils d’elaborar: “Són emails, SMS i missatges de creació senzilla que fins ara detectàvem amb errors gramaticals o ortogràfics. Si s’hi aplica la IA, aquests errors es corregeixen i, fins i tot, es pot adaptar el vocabulari a la persona a qui ens adrecem tenint en compte on viu”. Actualment, aquests incidents representen el 66% dels registrats per la companyia, però la previsió és que augmentin més que, per exemple, els troians, virus i altres programaris maliciosos. “Es poden utilitzar molts llenguatges de programació per crear-los, però si aconsegueixes que la IA et passi el codi que ja tens a un altre llenguatge poc habitual, podràs saltar-te la majoria de barreres dels programes de seguretat. Aquest sistema no està tan a l’abast de tothom, però sí dels qui tenen unes nocions bàsiques”, explica.

Tot i que el perfeccionament de les solucions d’intel·ligència artificial poden generar alarma, Corrons alerta que l’augment dels atacs de ciberseguretat aniran a l’alça. “És una tendència natural perquè cada cop vivim més en l’esfera digital, però està clar que creixeran amb més rapidesa i de manera més exponencial a mesura que surtin més”, argumenta, “però sense oblidar que els professionals que frenem l’activitat també millorem”.

Prevenir abans de curar

El fet que ChatGPT tingui la capacitat d’identificar errors de codi o vulnerabilitats en una infraestructura obre la porta a explotar defectes desconeguts pels propietaris. El responsable del Servei de Ciència i Analítica de Dades de l’Agència de Ciberseguretat veu aquest escenari com una possibilitat per generar nous programaris “vius i que poden propagar-se en zones restringides dels ordinadors”. “Si la IA d’OpenAI és capaç de trobar aquests errors i aprendre per millorar a mesura que li arriben més, aquí trobem una clara facilitat per evolucionar els malwares a un ritme vertiginós i dotar-los de funcionalitats pròpies diferents”, lamenta.

La via per fer front als riscos que arriben no és més que utilitzar també la intel·ligència artificial. Les màquines poden detectar anomalies que els ulls no són capaces de veure, per això cal aplicar el mateix sistema en la creació d’entorns segurs per identificar escletxes que poden passar per alt als encarregats del manteniment, la gestió o la mateixa escriptura del codi del sistema. La tecnologia fa anys que s’empra en el sector de la ciberseguretat, tot i que Romeu reconeix que el boom ha arribat ara i que és el moment de posar més esforços que mai en la prevenció: “Els nous usos de la IA han de facilitar la detecció dels forats per crear patrons i identificar un estat típic d’una xarxa o equip. Així, quan hi hagi algun canvi o algun petit moviment que no és normal, saltin les alarmes”. “No es tractarà tant de respondre davant d’escenaris complexos i ja amb afectació, sinó de protegir-te davant d’anomalies que poden ser el detonant d’un atac important”, afegeix.

Els experts de ciberseguretat estan incrementant esforços a detectar anomalies als sistemes amb intel·ligència artificial per frenar possibles atacs

En la protecció davant les amenaces, el machine learning ja és un sistema consolidat. “Sense ella, les empreses de seguretat seríem inútils. No perquè no sapiguem què fem, sinó perquè les persones no podem gestionar el gran volum de dades i solucions que veiem diàriament”, se sincera Corrons, “la tecnologia ens permet treballar-ho tot i aprendre a distingir, nosaltres i ella, què és bo i què és dolent”. Per això no albira un gran canvi en l’operativa dels antivirus i tallafocs, sinó més aviat un increment de companyies i una especialització: “Cada cop necessitarem més solucions i, segurament, més fetes a mida. Per a l’usuari general continuarem tenint antivirus generals que poden parar cops lleus o habituals, però les empreses hauran de destinar més recursos a estudiar les seves infraestructures i reforçar-les, per això sorgiran noves companyies centrades a aquest segon col·lectiu que, amb el temps, derivarà en fusions per tenir empreses més grans i fortes”.