Xanthorox, la IA que se promociona como recurso fácil para realizar ciberdelitos
Desarrollada por un usuario anónimo, promete evitar los antivirus, operando fuera de los canales habituales
BarcelonaNada más entrar en su página web oficial se define como "el asesino de WormGPT y EvilGPT" de forma dramática, con un fondo negro y letras conseguidas en rojo. Así se presenta Xanthorox, la nueva inteligencia artificial (IA) que ha aparecido este año, similar al ChatGPT. Ha sido creada por un desarrollador anónimo que ha promocionado la herramienta a través de canales públicos como GitHub, Telegram y Discord.
A diferencia de la mayoría de los sistemas de IA comerciales, que limitan las funciones para evitar usos maliciosos, Xanthorox se presenta abiertamente como una herramienta que puede facilitar enormemente las actividades delictivas en la red. En su página principal, la herramienta asegura poder describir "el primero ransomware generado por IA que evita todos los antivirus", con un cifrado "potente e intenso, optimizado para la penetración rápida y profunda en el sistema".
Xanthorox tiene la capacidad de generar vídeos o audios falsos (deepfakes), correos electrónicos de phishing (robar datos con un clic), malware y ransomware (pedir dinero para que el usuario recupere archivos secuestrados de su aparato). Además, la web también puede analizar imágenes, razonar, conversar por voz y mensajes de audio, analizar archivos, utilizar la cámara y realizar búsquedas de web, todo en servidores propios que garantizan la privacidad total del usuario. Una vez presentadas las funciones y prometer una seguridad absoluta, la web explica los precios: 200 dólares mensuales para una función limitada, 300 para el chat completo o pagar una cantidad variable dependiendo de las necesidades del usuario, que debe pactar directamente con el propietario de la empresa (un usuario que se llama Gary Senderson) vía chat.
Un patrón que se repite
Xanthorox utiliza modelos de inteligencia artificial de código abierto que no incorporan las medidas de seguridad habituales en sistemas comerciales, como en ChatGPT. Esta configuración permite generar contenido sin filtros, incluyendo instrucciones para realizar actividades ilegales, como programar virus informáticos. El uso de este tipo de tecnología no es inédito y en 2023 ya aparecieron plataformas como WormGPT y FraudGPT (las que Xanthorox presume de haber "asesinado") que ofrecían funcionalidades similares.
Daniel Kelley, investigador de seguridad en SlashNext, afirmó a principios de este año en la revista tecnológica Scientific American que Xanthorox "es más eficaz que WormGPT y FraudGPT" porque es "más sofisticado". Casey Ellis, fundador de la plataforma de ciberseguridad Bugcrowd, explica que, aunque todavía no se conocen los detalles, Xanthorox parece disponer de sistemas avanzados que permiten que distintos modelos de IA revisen y validen las respuestas entre sí, una arquitectura propia de sistemas de alto nivel.
"Solo busca el dinero"
Jordi Serra, experto en ciberseguridad, explica al ARA que herramientas así "generalizan mucho más cualquier posible ataque que se quiera hacer, porque estas webs permiten probar y generar código diferente intentando saltarse los antivirus": "Sin embargo, los antivirus buscan un comportamiento concreto de un virus". notables, no está del todo claro si realmente se puede utilizar esta herramienta para cometer delitos cibernéticos a gran escala. Xanthorox en los principales foros de ciberdelitos que monitorizan sugiere que, de momento, el impacto real de esta herramienta en el mundo delictivo es limitado. generar cosas de la nada, sin haber hecho antes mucho trabajo para entrenarlo".
"Que un ataque de este tipo se pueda hacer pasar por una persona sin que la IA no tenga una voz conocida es muy difícil si no hay detrás minutos de grabaciones de esa persona", apunta Serra. persona anónima. Además, se necesitan los datos de las personas para poder engañarlos y, de momento, la IA no tiene esa capacidad: "Muchas veces, lo que hacen es enviar a números aleatorios de internet diciendo que son un familiar tuyo" y añade que no hay un público concreto al que se dirigirán: "Sólo buscan el dinero". ¿Por qué es legal Xanthorox?
Según Kishon, aunque las IA no son necesariamente malas, "hacen mucho más fácil el trabajo de los ciberciminales". Los sistemas de IA de código abierto pueden ser utilizados libremente siempre que no vulneren directamente las leyes vigentes y, por tanto, crear un sistema como Xanthorox no es un delito. Sí es ilegal usar la herramienta para cometer delitos y, por tanto, la responsabilidad de momento corresponde al consumidor. Serra concluye que la inteligencia artificial "perfecciona el engaño".
