Estas dos versiones maliciosas de modelos de inteligencia artificial como ChatGPT, están disponibles en la Dark Web a un ‘módico’ precio de 200 dólares al mes.
Son herramientas utilizadas por ciberdelincuentes para generar correos de phishing y scripts maliciosos, con el objetivo de crear ciberestafas a empresas y particulares.
La Inteligencia Artificial llegó a finales de 2022, y lo hizo para quedarse definitivamente entre nosotros.
Sin embargo, la otra cara de la moneda (la cara ‘mala’), también ha visto un auge durante el pasado 2023, y este 2024 las estafas basadas en IA siguen en aumento a pesar de que la UE reguló hace poco el uso de estas herramientas.
En un reciente informe del IJSR CSEIT, se ha identificado a FraudGPT como un hito crucial en el mundo de los ciberataques. Esta herramienta de inteligencia artificial, disponible mediante suscripción, es capaz de generar con alta eficacia correos de phishing y sitios web fraudulentos. FraudGPT fue detectado por primera vez por Netenrich en julio de 2023, a través de la Dark Web y canales de Telegram.
Por otro lado, WormGPT, otra inteligencia artificial comparable, simplifica la creación de correos de phishing. Esta tecnología se deriva de GPT-J, un modelo de código abierto desarrollado por EleutherAI en 2021, que posee una capacidad similar a la de GPT-3.
FraudGPT, el clon malvado de ChatGPT
En primer lugar, FraudGPT, no es una herramienta gratuita como las versiones de OpenAI, y los ciberdelincuentes la adquieren por unos 200 dólares mensuales o 1.700 dólares anuales. Este ‘gemelo malvado’ de ChatGPT se destaca por su capacidad para escribir códigos maliciosos, crear malware indetectable, páginas de phishing, herramientas de hacking y correos de estafas.
Los expertos de Trustwave realizaron pruebas comparativas entre FraudGPT y ChatGPT, observando diferencias significativas en los resultados. Mientras que ChatGPT puede generar código y correos de phishing con cierta ingeniería en el prompt y siempre incluye mensajes de advertencia, los correos de phishing generados no resultan tan persuasivos como los de FraudGPT.
En segundo lugar, la versión más antigua de WormGPT es más económica, con un coste que va desde 60 dólares al mes hasta 550 dólares al año, como señala Trustwave.
Además, existe una versión más avanzada de WormGPT, la v2, que se personaliza por 5.000 dólares.
Ahora será más difícil identificar correos electrónicos de phishing
Fernando Alaya, country manager de la compañía de seguridad Proofpoint, declaró a El País que «atrás quedaron los días en los que se aconsejaba a los usuarios buscar fallos gramaticales».
No solo con eso, sino que esta herramienta también es capaz de generar correos electrónicos maliciosos de phishing en multitud de idiomas.
«Es posible que un LLM (un modelo de lenguaje colosal, que usa aprendizaje profundo y se entrena con grandes cantidades de datos) primero lea todos los perfiles de LinkedIn de una organización y luego redacte un correo electrónico muy específico para cada empleado. Todo ello en impecable inglés u holandés, adaptado a los intereses específicos del destinatario”, comentaba el Centro de Seguridad Cibernética Holandés.
Generación de imágenes, voz y vídeo por IA
Las estafas más convincentes tienen mayores probabilidades de engañar a las víctimas. La inteligencia artificial se usa para crear audio sintético y potenciar técnicas como el «pig butchering», donde los atacantes ganan confianza antes de estafar.
“Estafas como las de “pig butchering” podrían pasar algún día de los mensajes a las llamadas, aumentando aún más la capacidad de persuasión de esta técnica”, añadía Anaya.
Además, los ciberdelincuentes han utilizado la IA para suplantar a oficiales gubernamentales y celebridades en videollamadas y redes sociales. También se emplea en campañas con imágenes y vídeos alterados, incluyendo deepfakes de personalidades, a menudo para promover inversiones fraudulentas en criptomonedas.
En conclusión, la inteligencia artificial está abriendo nuevos caminos para los cibercriminales, y las empresas de seguridad informática están plenamente alerta. Zac Amos, de ReHack, comentó que: «FraudGPT es un importante recordatorio de cómo los ciberdelincuentes seguirán cambiando sus técnicas para lograr el máximo impacto».
Con Zepo, aprenderás a identificar un ciberataque antes de que ocurra
Da de alta a tus empleados.
Puedes hacerlo de forma manual o a través de un CSV.
Puedes crear grupos de empleados en función del grado de conocimiento y concienciación que tengan sobre los ciberataques.
Lanza ataques y pon a prueba a tus equipos.
Podrás comprobar en tiempo real quiénes caen en la trampa.
Creamos plantillas personalizadas para tus campañas, en función de los bancos y proveedores con los que trabajáis. Nadie sabrá que es una simulación.
Fórmales en prevención de ciberataques.
Crea cursos personalizados en materia de prevención. 3 minutos al mes.
Basta de cursos aburridos y obligatorios. Con Zepo, aprenderás y te divertirás a la vez.