Se ha acusado a ChatGPT de muchas cosas: crear una nueva forma para que los estudiantes hagan trampa, convertirse en un eliminador de empleos, generar una fuente barata de contenido de mala calidad y, mi favorita personal: ser un mal peligroso e impío que amenazará el tejido moral de la sociedad.
Pero la gente lleva haciendo, o cobrando por hacer, todas esas cosas durante décadas. OpenAI y otros proveedores de inteligencia artificial generativa solo las hacen más baratas. En general, promete eliminar una enorme cantidad de trabajo tedioso en empleos de oficina, igual que los telares, las cadenas de montaje y los robots lo hicieron con el trabajo manual durante el último siglo.
Como cualquier herramienta o innovación tecnológica, las herramientas de IA generativa tienen la capacidad de ser utilizadas para un gran beneficio o para un gran daño.
¿Para qué son buenos los Grandes Modelos de Lenguaje (LLMs)?
El uso de ChatGPT, Microsoft Bard y otras herramientas ha facilitado mucho obtener conocimientos útiles a partir de la predicción… pero los usos van mucho más allá de las finanzas.
Los LLM son persuasivos. Conocen, con precisión matemática, qué combinaciones de palabras resultan más convincentes para las personas, y están entrenados para moverse dentro de esos límites.
Tienen un vasto conocimiento de hechos y detalles.
Pueden resumir y reformular textos en cualquier estilo que elijas.
Sin embargo, no son buenos diciendo la verdad. Las computadoras, conocidas por su rígida restricción a la lógica, paradójicamente tienen en los LLM una incapacidad para distinguir la verdad de la ficción y son totalmente capaces de inventar mentiras al responder preguntas, reforzando esas mentiras con total confianza.
Qué significa esto para nosotros
No quiero ponerme demasiado filosófico pero, en este momento histórico, están ocurriendo muchas cosas.
Los avances técnicos, políticos y económicos se han combinado para confundir muchos de los indicadores que la gente utiliza para evaluar la credibilidad y asignar confianza. Así como las fotos falsas en redes sociales confundieron a las personas, ChatGPT y otros LLM ahora forman parte de la ecuación. Como sociedad, una vez más tendremos que adaptarnos, aprendiendo nuevas formas para discernir la verdad de la desinformación.
Mismas personas de siempre, la misma historia de siempre.
Cómo funcionan hoy los ciberataques y las estafas de phishing
Dejando la filosofía aparte, el auge de los LLM representa una amenaza particular para las empresas: abaratar el costo de los ataques de phishing de calidad.
"La gente siendo engañada" es la principal fuente de pérdidas reales de ciberseguridad. Mientras la industria se enfoca en amenazas y soluciones técnicas, la gran mayoría de los cibercrímenes exitosos se basa en engañar a alguien en algún punto del proceso.
Hoy existe una industria floreciente de centros de llamadas dedicados al fraude y los delitos cibernéticos. Tienen proveedores y vendedores, procedimientos y recursos humanos, y probablemente retiros ocasionales de liderazgo para celebrar un trabajo bien hecho. Es todo un sistema.
Algunas partes del proceso de fraude están automatizadas: el correo inicial buscando amor o informándote de una gran oportunidad de negocio son plantillas recicladas; encontrarás el mismo correo en la bandeja de entrada de tu vecino, quizás modificado en su interminable prueba A/B para mejorar la tasa de conversión.
Una vez que tú o tu vecino hacen clic o responden, alguien del centro de llamadas interviene, siguiendo procedimientos y usando habilidades perfeccionadas durante años para mover el “lead” (tú) a través de la “pipeline de ventas” (estafa) y “cerrar la venta” (defraudarte) de la manera más eficiente posible.
Estos empleados tienen evaluaciones de desempeño, métricas clave, estructuras de bonificación y días de enfermedad. Son el mayor costo de operar un centro de llamadas de phishing. Al igual que en cualquier negocio, las empresas y los individuos con mejor rendimiento obtienen mejores tasas de conversión y mayores ingresos, y por ello, pueden pedir mayores compensaciones.
Existe una especie de segmentación natural en el “mercado” del fraude basada en el “rendimiento” esperado (dinero que pueden estafar) de los objetivos:
- Las empresas de bajo costo y bajo rendimiento suelen buscar un mayor número de objetivos de bajo rendimiento. Es el equivalente en el fraude a los anuncios de Instagram para baratijas poco útiles y de bajo costo; intentan llegar a la mayor cantidad de personas posible para ver si logran algunas ventas.
- Los equipos de alto rendimiento persiguen objetivos de alto valor e invierten más en cada uno. Estos son las grandes cuentas B2B del mundo del fraude; realizan investigaciones exhaustivas y asignan a sus mejores representantes de ventas y atención al cliente.
No tiene sentido empresarial asignar contactos de bajo rendimiento a equipos de alto rendimiento, por lo que rara vez los objetivos de bajo rendimiento (o sea, yo y la mayoría de ustedes) reciben intentos sofisticados por parte de estafadores experimentados.
Cómo los LLM cambiarán las reglas del juego
Repasemos lo que ya sabemos:
- Las herramientas de IA son buenas para sonar persuasivas.
- Los modelos de IA son buenos para digerir gran cantidad de información detallada de un conjunto de datos y producir algo único, específico y plausible.
- La IA generativa tiene fluidez perfecta en inglés y un conocimiento enciclopédico de todos los temas en internet.
- Los algoritmos de GPT se pueden ajustar para escribir en el estilo de cualquier grupo demográfico.
Además, las desventajas de la IA son insignificantes para la industria del fraude: la verdad no importa. Mientras la víctima caiga en la estafa, a la administración no le importa cuántos disparates cuenten.
¿Un enfoque no está funcionando? No te preocupes, el aprendizaje automático no tiene ego, cambiará de método sin pensarlo dos veces (ni una, en realidad…).
¿La guinda del pastel? Las herramientas de IA cuestan casi nada en comparación con un centro de llamadas lleno de estafadores.
Cronograma de Lanzamiento
Desafortunadamente, el mundo del crimen se mueve rápido. No tienen que preocuparse por su reputación, hay menos burocracia, y es clave llegar temprano a este “mercado”.
Un producto LLM enfocado en el crimen, WormGPT, ya se ha vuelto lo suficientemente popular como para aparecer en los medios principales por su chatbot de IA compatible con malware. Sin duda existen otros, y no pasará mucho tiempo antes de que la presión competitiva y la socialización de mejores prácticas reduzcan los costos operativos lo suficiente como para que el phishing respaldado por LLM se convierta en el método dominante para estos delitos.
Hagamos una pausa por el pronto desempleado Asociado de Operaciones de Estafas.
A medida que la industria del phishing experimenta esta transformación en los próximos años, el costo de operar una estafa sofisticada caerá en picada, lo que provocará que los ahora autónomos “mejores vendedores” y otros ciberdelincuentes comiencen a centrarse en oportunidades de menor rendimiento. Muchos más de nosotros estaremos expuestos a un aluvión de phishing de alta calidad y muchos caerán en la trampa.
Hora de Cambiar los Protocolos de Autenticación
Debido a las estafas de phishing y los hackers que acceden a cuentas, muchos hemos aprendido a tomar con cierta cautela los mensajes recibidos por correo electrónico y texto. Yo, y otros expertos, solemos recomendar usar el teléfono para verificar información confidencial en actividades de riesgo como transacciones de alto valor; las compañías de títulos y las firmas legales han utilizado esta estrategia con éxito durante años.
Creo que eso pronto dejará de funcionar. Las llamadas telefónicas creíbles generadas por LLM no están muy lejos. Ya existen productos que pueden usar muestras de voz para crear audios de cualquier persona diciendo cualquier cosa. Al momento de escribir este artículo, esto no funciona en tiempo real; se tarda un poco en generar cada clip. Por suerte, la mayoría de nosotros no se dejará engañar por retrasos de cinco o diez segundos en una conversación, por mucho que el llamante suene como Johnny Cash.
Pero las computadoras y la tecnología suelen volverse más rápidas. Tengo plena confianza en que el progreso incremental en herramientas de generación de voz por IA y la velocidad de procesamiento convertirán las llamadas impulsadas por LLM en una oferta común en menos de una década. Pronto perderemos la capacidad de saber si alguien es legítimo solo por su voz; una oportunidad que los delincuentes no dejarán escapar.
Ver No Siempre Será Creer
La síntesis de voz no es el único software de suplantación en desarrollo; generar un video creíble de alguien a partir de grabaciones previas ya es posible (y está mejorando). El video es sustancialmente más difícil que la voz: los clips convincentes suelen requerir muchas horas, habilidad significativa y el arte de un experto.
Pero, al igual que con la síntesis de audio, el desarrollo de una versión automatizada y en tiempo real es solo cuestión de años. Puede que lleve un par de décadas, especialmente para volverse lo suficientemente barato para bandas criminales, pero llegará.
Próximos Pasos para la Seguridad Organizacional
¿Estás preparado para un mundo donde cada comunicación virtual podría ser falsa? ¿La privacidad de los datos está muerta? ¿Nos encaminamos a un colapso de la civilización y un regreso a la Edad de Piedra?
No exactamente.
Las Matemáticas al Rescate
Hoy en día, usamos la voz, la apariencia y los modales para identificar a alguien. En términos de ciberseguridad, estos factores los autentican ante nosotros; los utilizamos para determinar si la persona con la que hablamos es quien dice ser. Dependemos de esta estrategia sin pensarlo, y durante los últimos 7000+ años, ha funcionado muy bien.
Esta nueva realidad de LLM y suplantación generada por IA promete eliminar esa capacidad. Tendremos que reemplazarla por otra forma de autenticar al comunicarnos en línea.
Aquí hay esperanza: tenemos otras técnicas que funcionan, aunque todavía no son populares. La tecnología de autenticación basada en matemáticas, desarrollada en las últimas dos décadas, no se verá afectada por estos cambios y ya es barata y sencilla. Muchos sistemas ya dependen de ellas sin que los usuarios se den cuenta. La pérdida del reconocimiento virtual puede llevar a muchos a recurrir a métodos de autenticación criptográficamente rigurosos y alejarse de opciones débiles como una simple llamada telefónica o Zoom.
Dime algo bueno
Para bien o para mal, la sociedad terminará encontrando una solución. Por suerte, puedes tomar un papel más activo en el futuro de tu empresa y evitar que esta amenaza la afecte. Ni siquiera es tan difícil.
Primero, mueve toda la información sensible detrás de un proveedor de identidad federado y criptográficamente riguroso. Luego, haz que quede claro en tu compañía que deben depender de eso en lugar de conformarse con reconocer a las personas por su estilo de escritura o su voz.
Y, por último, puedes centrarte en lo que mejor sabes hacer y dejar que otros, como yo, se mantengan informados sobre el resto. Suscríbete al boletín de The CFO Club si quieres ser el primero en enterarte cuando detecte la próxima amenaza para la sociedad.
