“Quan avaluem el risc que té una empresa de caure davant un ciberatac sempre ens preguntem quin nivell de coneixement necessitaria un atacant per trencar les proteccions que té. I ara en molts casos veiem que un atac amb èxit podria llançar-lo un nen de 14 anys”. Aquest és l’alarmant diagnòstic de José Luis Rojo, soci de ciberseguretat de la consultora EY, davant la nova estratègia dels cibercriminals: en lloc de llançar ells mateixos els atacs, han obert botigues en línia on venen els programes amb un servei d’assistència d’intel·ligència artificial que assessora els clients per utilitzar-los.
“Ja fa temps que al dark web s’hi poden comprar tota mena de programes maliciosos, però el fenomen ha entrat en una nova dimensió”, reconeix Rojo, amb el llançament de Xanthorox.net: una botiga en línia com qualsevol altra que ven subscripcions a un servei d’intel·ligència artificial (IA) que desenvolupa virus informàtics i llança ciberatacs a demanda. Oberta a l’abril, la subscripció al servei, al paquet més bàsic, s’aconsegueix amb un pagament únic de 200 dòlars (176 euros).
Amb les ‘dark’ IA el hacker no necessita ser informàtic i pot llançar milers d’atacs en una hora
Álvaro del Hoyo, estrateg tecnològic per al sud d’Europa de CrowdStrike, una de les empreses líders del sector de la ciberseguretat, recorda que “tothom del crim ha aconseguit obrir un mercat a internet, des del tràfic de drogues fins al d’armes. No ens pot estranyar que ho hagin aconseguit també els cibercriminals, ni que busquin maneres d’optimitzar el seu negoci amb la IA, com fem les empreses”. A més, creant aquestes IA criminals els hackers guanyen seguretat, ja que “no cometen directament el ciberatac”, explica Del Hoyo.
Xanthorox és l’última i més avançada de les “IA negres com a servei” i l’única que és al web obert. Al dark web , aquesta indústria d’IA criminals la va iniciar WormGPT, el juny del 2023, i a aquesta l’han seguit d’altres com FraudGPT, DarkBert, EvilGPT i WolfGPT.
WormGPT, amb una subscripció a partir de 18 dòlars al mes o 160 a l’any, facilita a qui vol dedicar-se al cibercrim l’ arxiu maliciós a adjuntar als correus per fer phishing o assessora sobre com blanquejar els diners obtinguts en els atacs.
Xanthorox va més enllà i respon a instruccions com “injecta codi maliciós SQL en aquest web fins a accedir a la base de dades”, “digues-me el punt d’entrada més feble a aquest web” o “descobreix una nova vulnerabilitat en el tallafoc d’aquesta empresa aplicant enginyeria inversa”.
La plataforma es defineix a si mateixa com “la millor eina de pirateig”. Segons Del Hoyo, “les IA s’han desenvolupat amb guarda-raïls : no et diuen com crear una bomba atòmica, tot i que es pot aconseguir la informació enganyant-la , fent servir preguntes adequades o simulant jocs de rol. En canvi, aquests webs manquen de qualsevol consideració ètica”.
Xanthorox explica al seu web que altres dark IA, com WormGPT o EvilGPT, s’han desenvolupat a partir d’IA d’accés públic, com ChatGPT o Gemini, mentre que ells han fet el seu propi desenvolupament i tenen els seus propis servidors, cosa que, a parer seu, ha permès optimitzar el desenvolupament dels seus codis maliciosos, assegura l’anonimat dels usuaris, i els permet operar sense connexió.
L’aplicació “s’actualitza contínuament”, ja que aprèn de les seves accions. La IA, assenyala Del Hoyo, crea campanyes de phishing que repliquen bé el llenguatge natural i poden enganyar fins i tot els experts, i fa webs falsos de manera molt ràpida i molt convincent. També pot crear vídeos i àudios falsos molt realistes per fer suplantacions.
Les dark IA han abaixat el llistó de coneixements requerits per llançar ciberatacs, però sobretot han multiplicat el seu abast, ja que automatitzant-los, poden llançar milers d’atacs en una hora. “Els hackers artificials han deixat anar els gossos de la guerra”, va advertir Roberto Clavero, enginyer de vendes de CrowdStrike, al congrés de ciberseguritat que es va celebrar la setmana passada a Barcelona: han passat de ser assistents dels hackers a liderar els atacs de manera autònoma. L’auge d’aquestes “IA negres com a servei”, va assegurar, és el que explica el gran augment que registren els ciberatacs a tot el món.
L’amenaça que suposen aquestes botigues en línia de programes per llançar ciberatacs ha mobilitzat fins i tot els estats. Aquesta setmana la unitat de delictes digitals de Microsoft ( DCU), juntament amb el Centre Europeu de Ciberdelinqüència (EC3), el Centre de Control de la Ciberdelinqüència del Japó (JC3) i el Departament de Justícia dels Estats Units, ha llançat una acció coordinada per desmantellar Lumma Stealer, el principal virus informàtic que es fa servir per al robatori d’informació (contrasenyes, targetes de crèdit, comptes bancaris i moneders de criptomonedes, entre d’altres).
El desenvolupador de Lumma, un hacker establert a Rússia conegut com a Shamel, es va vantar fa dos anys de comptar amb 400 “clients” que li compraven el programa per utilitzar-lo en els seus atacs a canvi d’una comissió. L’operació coordinada per Microsoft va desmantellar 2.300 dominis d’internet que formaven l’esquelet de distribució del programa i va identificar 394.000 ordinadors infectats amb el programa a tot el món.
