Los chatbots impulsados por la inteligencia artificial (IA) pueden aprobar un examen de ciberseguridad, pero no confíes en ellos para una protección completa.
Esa es la conclusión de un documento reciente coescrito por el investigador de la Universidad de Missouri, Prasad Calyam, y colaboradores de la Amrita University en India. El equipo probó dos de las principales herramientas de IA generativa: ChatGPT de OpenAI y Bard de Google, ahora Gemini, utilizando un examen estándar de piratería ética certificado.
Los hackers éticos certificados son profesionales de la ciberseguridad que utilizan los mismos trucos y herramientas que los hackers maliciosos para encontrar y corregir fallas de seguridad. Los exámenes de piratería ética miden los conocimientos de una persona sobre diferentes tipos de ataques, cómo proteger los sistemas y cómo responder a las violaciones de seguridad.
ChatGPT y Bard, ahora Gemini, son programas de IA avanzados llamados modelos de lenguaje grandes. Generan texto similar al humano utilizando redes con miles de millones de parámetros que les permiten responder preguntas y crear contenido.
En el estudio, Calyam y su equipo probaron los bots con preguntas estándar de un examen de piratería ética certificado validado. Por ejemplo, desafiaron a las herramientas de IA a que explicaran un ataque de tipo “man-in-the-middle”, un ataque en el que un tercero intercepta la comunicación entre dos sistemas. Ambos pudieron explicar el ataque y sugirieron medidas de seguridad sobre cómo prevenirlo.
En general, Bard superó ligeramente a ChatGPT en términos de precisión, mientras que ChatGPT exhibió mejores respuestas en términos de exhaustividad, claridad y concisión, encontraron los investigadores.
“Los sometimos a varios escenarios del examen para ver hasta dónde llegarían en términos de responder preguntas”, dijo Calyam, profesor Greg L. Gilliom de ciberseguridad en ingeniería eléctrica e informática en Mizzou. “Ambos aprobaron el examen y tuvieron buenas respuestas que eran comprensibles para los individuos con experiencia en ciberdefensa, pero también están dando respuestas incorrectas. Y en ciberseguridad, no hay margen de error. Si no tapas todos los agujeros y te fías de consejos potencialmente dañinos, volverás a ser atacado. Y es peligroso si las empresas creen que han solucionado un problema pero no lo han hecho”.
Los investigadores también encontraron que cuando se les pidió a las plataformas que confirmaran sus respuestas con indicaciones como “¿estás seguro?”, ambos sistemas cambiaron sus respuestas, a menudo corrigiendo errores anteriores. Cuando se les pidió a los programas que dieran consejos sobre cómo atacar un sistema informático, ChatGPT hizo referencia a la “ética”, mientras que Bard respondió que no estaba programado para ayudar con ese tipo de pregunta.
Calyam no cree que estas herramientas puedan reemplazar a los expertos humanos en ciberseguridad con experiencia en la resolución de problemas para idear medidas de ciberdefensa robustas, pero pueden proporcionar información básica para individuos o pequeñas empresas que necesitan ayuda rápida.
“Estas herramientas de IA pueden ser un buen punto de partida para investigar problemas antes de consultar a un experto”, dijo. “También pueden ser buenas herramientas de entrenamiento para aquellos que trabajan con tecnología de la información o que quieren aprender los conceptos básicos sobre la identificación y explicación de las amenazas emergentes”.
¿Lo más prometedor? Las herramientas de IA solo van a seguir mejorando sus capacidades, dijo.
“La investigación muestra que los modelos de IA tienen el potencial de contribuir a la piratería ética, pero se necesita más trabajo para aprovechar plenamente sus capacidades”, dijo Calyam. “En última instancia, si podemos garantizar su precisión como hackers éticos, podemos mejorar las medidas generales de ciberseguridad y confiar en ellos para que nos ayuden a hacer que nuestro mundo digital sea más seguro.”
El estudio, “ChatGPT o Bard: ¿Quién es un mejor hacker ético certificado?”, se publicó en la edición de mayo de la revista Computers & Security. Los coautores fueron Raghu Raman y Krishnashree Achuthan.
Tema de Investigación
No aplica
Título del Artículo
ChatGPT o Bard: ¿Quién es un mejor hacker ético certificado?
Fecha de Publicación del Artículo
15-May-2024
