Las IA generativas han demostrado ser especialmente eficaces para crear textos creíbles y muy parecidos a los que escriben los humanos en muchos ámbitos, haciéndolos prácticamente indistinguibles de los de estos.
Esto trae muchas ventajas, pero también inconvenientes. Así, en el campo de la ciberseguridad otorgan a los cibermalos una mayor verosimilitud para engañar a sus víctimas.
Un equipo de investigadores de seguridad encabezado por Fredrik Heiding ha demostrado recientemente en Black Hat USA 2023 que los LLM (modelos de lenguaje de gran tamaño) pueden crear correos electrónicos de phishing funcionales, algo poco menos convincentes que los redactados manualmente.
El equipo probó cuatro LLM comerciales (ChatGPT, Bard de Google, Claude de Anthropic y chatllama) para realizar experimentos con estudiantes de Harvard. En la prueba 112 universitarios recibieron correos electrónicos maliciosos con ofertas de tarjetas de regalo de Starbucks.
Los investigadores encargaron a Chat GPT que redactara un email de 150 palabras que ofreciera un cupón de regalo de 25 dólares para los estudiantes. Además, lo compararon con V-Triad, un modelo de IA especializado en emails de phishing convincentes.
Para la distribución de los correos mandaron emails en ciclos de 10 lotes entre las 10.30 de la mañana y las 2.30 de la madrugada.
Mejores a la segunda
Entre las principales conclusiones que se extraen está que el phishing generado por V-Triad funcionó mejor, con una tasa de clics del 70%. Los creados por ChatGPT tuvieron un ratio del 30%. En cuanto a los emails generados en combinación de ambas IAs estos experimentaron una tasa de apertura del 50%.
ChatGPT no mencionó a Harvard en el primer test que se hizo, lo que llevó a una tasa más baja. Pero ChatGPT mejoró al 50 % de los clics en una versión de prueba diferente, mientras que la combinación V-Triad/ChatGPT acabó logrando una puntuación del 80 %.
Por otro lado, en la siguiente fase, ChatGPT, Bard, Claude y ChatLlama evaluaron la intención de Starbucks y los correos electrónicos de marketing legítimos. Los LLM evaluaron la composición humana o de IA, detectaron elementos sospechosos y dieron consejos de respuesta, según recoge .
Como aspecto positivo para la ciberdefensa, los investigadores han destacado la eficacia de los LLM para detectar emails sospechosos y destacaron su potencial para un uso amplio sin capacitación en datos de seguridad.