Por Josh Quittner
5 min lectura
Cuando apareció un mensaje en su teléfono de un número que afirmaba ser de un antiguo contacto universitario, un profesional de la tecnología de la información con sede en Delhi se sintió inicialmente intrigado. El remitente, haciéndose pasar por un oficial del Servicio Administrativo de la India, afirmaba que un amigo en las fuerzas paramilitares iba a ser transferido y necesitaba liquidar muebles y electrodomésticos de alta gama "a precio de ganga".
Era una estafa clásica de "traslado del ejército", una estafa digital omnipresente en India. Pero en lugar de bloquear el número o caer víctima del esquema, el experto afirma que decidió darle la vuelta a la situación utilizando la misma tecnología a menudo acusada de ayudar a los ciberdelincuentes: la inteligencia artificial.
Según un relato detallado publicado en Reddit, el usuario, conocido por el nick u/RailfanHS, utilizó ChatGPT de OpenAI para "codificar la vibra" un sitio web de rastreo. La trampa cosechó con éxito la ubicación del estafador y una fotografía de su rostro, lo que llevó a un dramático enfrentamiento digital donde, según se informa, el estafador suplicó por clemencia.
Si bien la identidad del usuario de Reddit no pudo ser verificada de forma independiente, y el individuo específico permanece anónimo, el método técnico descrito en la publicación ha sido examinado y validado por la comunidad de desarrolladores y entusiastas de la IA de la plataforma.
El incidente destaca una tendencia creciente de "scambaiting"—justicia vigilante donde personas con habilidades tecnológicas engañan a los estafadores para hacerles perder el tiempo o exponer sus operaciones—evolucionando con la ayuda de la IA generativa.
El encuentro, que fue ampliamente publicitado en India, comenzó con un guion familiar. El estafador envió fotos de mercancías y un código QR, exigiendo un pago por adelantado. Fingiendo dificultades técnicas con la escaneo, u/RailfanHS recurrió a ChatGPT.
Alimentó al chatbot de IA con una indicación para generar una página web funcional diseñada para imitar un portal de pago. El código, descrito como una "página web PHP de 80 líneas", fue diseñado secretamente para capturar las coordenadas GPS del visitante, la dirección IP y una instantánea de la cámara frontal.
El mecanismo de seguimiento se basó en parte en la ingeniería social tanto como en una vulnerabilidad de software. Para evitar las funciones de seguridad del navegador que suelen bloquear el acceso silencioso a la cámara, el usuario le dijo al estafador que necesitaba subir el código QR al enlace para "agilizar el proceso de pago". Cuando el estafador visitó el sitio y hizo clic en un botón para subir la imagen, el navegador le pidió permiso para acceder a la cámara y la ubicación, permisos que concedió sin darse cuenta en su prisa por asegurar los fondos.
Imagen: RailfanHS en Reddit
"Motivado por la codicia, la prisa y confiando completamente en la apariencia de un portal de transacciones, hizo clic en el enlace", escribió u/RailfanHS en el hilo del subreddit r/delhi. "Instantáneamente recibí sus coordenadas GPS en vivo, su dirección IP y, lo más satisfactorio, una imagen clara de él sentado tomada con la cámara frontal."
La represalia fue rápida. El profesional de TI envió los datos recolectados de vuelta al estafador. El efecto, según la publicación, fue un pánico inmediato. Las líneas telefónicas del estafador inundaron al usuario con llamadas, seguidas de mensajes suplicando perdón y prometiendo abandonar su vida delictiva.
"Ahora estaba suplicando, insistiendo en que abandonaría por completo esta línea de trabajo y pidiendo desesperadamente otra oportunidad", escribió RailfanHS. "Sobra decir que muy probablemente estaría estafando a alguien la próxima hora, pero vaya, la satisfacción de robarle a un ladrón es increíble."
Si bien los relatos dramáticos de justicia en internet a menudo invitan al escepticismo, los fundamentos técnicos de esta trampa fueron verificados por otros usuarios en el hilo. Un usuario con el nombre de usuario u/BumbleB3333 informó haber replicado con éxito la "página web HTML falsa" utilizando ChatGPT. Señalaron que si bien la IA tiene salvaguardas contra la creación de código malicioso para vigilancia silenciosa, genera fácilmente código para sitios que parecen legítimos y solicitan permisos de usuario, que es exactamente cómo el estafador fue atrapado.
"Logré hacer una especie de página web HTML ficticia con ChatGPT. Captura la geolocalización cuando se sube una imagen después de pedir permiso", comentó u/BumbleB3333, confirmando la viabilidad del hack. Otro usuario, u/STOP_DOWNVOTING, afirmó haber generado una "versión ética" del código que podría modificarse para funcionar de manera similar.
El autor original, quien se identificó en los comentarios como un gerente de producto de IA, reconoció que tuvo que usar prompts específicos para evadir algunas de las restricciones de seguridad de ChatGPT. "Estoy acostumbrado a superar estas barreras con los prompts correctos", señaló, agregando que alojó el script en un servidor privado virtual.
Expertos en ciberseguridad advierten que si bien tales "contraataques" son satisfactorios, operan en un área legal gris y pueden conllevar riesgos. Aun así, resulta bastante tentador y se convierte en un espectáculo satisfactorio para los espectadores.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.