BadGPT, la IA de los hackers ¿Cómo de peligrosa es?

La inteligencia artificial ha llegado para revolucionar todo tipo de áreas, y la ciberseguridad no es la excepción. Pero como suele ocurrir con las grandes herramientas, también está siendo utilizada con fines menos deseables. Hoy vamos a hablar de una tendencia alarmante: el uso de IA por parte de ciberdelincuentes para crear correos electrónicos fraudulentos, mensajes de spear-phishing e incluso malware, todo con una precisión que hace unos años era impensable. Y no, no es ciencia ficción ni un caso aislado; esto está ocurriendo ahora, con plataformas como "BadGPT".

¿Cómo consiguen engañarnos?

Gracias a los avances en inteligencia artificial generativa, los delincuentes pueden crear mensajes de phishing que superan problemas clásicos como los errores de gramática o traducción, esos que antes eran tan fáciles de detectar. Hoy, un correo generado por IA puede simular con una claridad sorprendente la comunicación de un ejecutivo o un proveedor de confianza.

Me ha tocado ver, tanto en empresas grandes como en pymes, cómo estos ataques se cuelan entre los filtros de seguridad, porque al estar tan bien escritos y personalizados, es mucho más difícil que las herramientas convencionales los detecten.

BadGPT, una nueva cara del phishing

La comunidad de hackers está utilizando modelos basados en herramientas como ChatGPT, pero modificados con un toque de malicia, para crear correos de spear-phishing con una apariencia casi perfecta. En lugar del típico mensaje genérico de “Ha ganado un premio”, ahora pueden dirigirse a personas con mensajes específicos, mencionando datos relevantes de sus puestos de trabajo o incluso temas personales.

He visto cómo, en menos de 2 años, han aumentado los intentos de fraude en los que los atacantes se hacen pasar por proveedores solicitando pagos urgentes. Lo preocupante es que estos correos no solo engañan por su apariencia, sino porque utilizan la IA para manipular detalles que antes eran indicadores claros de fraude.

Por ejemplo, en algunas empresas donde he colaborado, estos correos han simulado hasta las firmas y logotipos oficiales, llevando a algunos empleados a hacer clic en enlaces peligrosos.

El desafío de la detección

El problema con los correos generados por inteligencia artificial es que son muy difíciles de detectar. La precisión en el lenguaje y la estructura de estos mensajes hace que se parezcan mucho a comunicaciones legítimas. Y aunque existen soluciones avanzadas en ciberseguridad, como filtros anti-phishing y herramientas de antivirus que están diseñadas para identificar ciertos patrones, estos ataques son tan precisos que a menudo pasan desapercibidos.

Aviva Litan, una analista de Gartner, comenta que la dificultad de detectar estos correos con soluciones convencionales es alta, y eso lo he experimentado de primera mano. Cada vez es más necesario contar con sistemas de seguridad de última generación, pero también con una dosis de desconfianza sana y con un equipo capacitado para detectar pequeños detalles que puedan delatar estos fraudes.

La IA también genera malware

Estos avances no solo afectan al phishing. La misma tecnología que ayuda a escribir correos falsos también se usa para crear código malicioso. Este malware puede incluir técnicas de evasión que no solo eluden los sistemas de detección, sino que aprenden a adaptarse y evadir defensas específicas. Me parece increíble pensar que estamos en una época en la que una IA puede “entrenarse” con el mismo software de defensa que se supone que debería detenerla.

¿Qué respuesta ha dado la industria a la accesibilidad de estas herramientas? 

Las empresas de seguridad cibernética están redoblando esfuerzos para combatir esta nueva oleada de ataques. Abnormal Security, por ejemplo, está utilizando inteligencia artificial para detectar miles de correos electrónicos maliciosos creados por IA. Esto es un gran avance, pero aún hay un largo camino que recorrer. La detección completa no es sencilla porque, como comentó un portavoz de OpenAI, los desafíos crecen a medida que estos sistemas se vuelven cada vez más sofisticados y accesibles.

La accesibilidad de las herramientas maliciosas es un factor clave aquí. Muchos piensan que para acceder a estas herramientas se necesita ir a la dark web o tener conocimientos avanzados de hacking, pero no es así. Estas herramientas están en internet, accesibles a cualquiera. Yo mismo, con un poco de investigación en YouTube y en foros, aprendí a crear una prueba de phishing con herramientas de IA, para poder usarla en capacitaciones de seguridad para empresas. Con esa experiencia, entendí lo fácil que es para cualquier persona con intenciones menos éticas poner en riesgo a los usuarios.

Medidas de protección que debes tener en cuenta

Entonces, ¿cómo podemos protegernos? En el ámbito empresarial, es fundamental invertir en la capacitación del personal. Muchas veces, un ojo entrenado es capaz de detectar señales que ni el mejor antivirus puede identificar. Enseñar a los empleados a sospechar de correos que, aunque parecen legítimos, tienen elementos fuera de lugar, es esencial para mantener la seguridad.

Además, las empresas deberían actualizar sus políticas de seguridad, no solo para incluir directrices sobre correos sospechosos, sino también para implementar filtros avanzados y soluciones antimalware específicas contra la IA maliciosa.

Para los usuarios en casa, la “desconfianza prudente” es nuestra mejor aliada. A veces, el correo está tan bien escrito y sin errores, que es difícil sospechar. Sin embargo, siempre debemos desconfiar de mensajes que parecen demasiado buenos para ser verdad, como premios no solicitados o problemas bancarios inesperados.

Mantente informado

Las tácticas de los ciberdelincuentes están en constante evolución, y la única manera de estar preparados es mantenerse al día con las últimas tendencias y formas de ataque. Actualizar nuestras herramientas de seguridad, es clave para estar un paso adelante, pero también lo es la educación y la vigilancia constante.

Espero que esta información te haya servido para entender un poco más sobre el riesgo que representa el uso de IA en manos de ciberdelincuentes. La realidad es que, aunque estamos mejorando las defensas, la creatividad y accesibilidad de los hackers con herramientas como BadGPT nos obliga a no bajar la guardia.