Cómo un experto en IA utilizó ChatGPT para darle la vuelta a un estafador

En resumen

• Un trabajador de TI en Delhi afirma que utilizó ChatGPT para crear una web de pagos falsa que capturó la ubicación y la foto de un estafador durante un intento de fraude de “traslado militar”.
• La publicación en Reddit se hizo viral después de que el estafador supuestamente entrara en pánico y suplicara clemencia al ser confrontado con sus propios datos.
• Otros usuarios de Reddit replicaron la técnica y confirmaron que el código generado por IA podía funcionar, subrayando cómo las herramientas generativas están transformando el scambaiting casero.

El centro de Arte, Moda y Entretenimiento de Decrypt.

Descubre SCENE

Cuando apareció un mensaje en su teléfono de un número que afirmaba ser de un antiguo contacto universitario, un profesional de tecnologías de la información en Delhi se sintió intrigado al principio. El remitente, haciéndose pasar por un funcionario del Servicio Administrativo Indio, afirmaba que un amigo de las fuerzas paramilitares iba a ser trasladado y necesitaba liquidar muebles y electrodomésticos de alta gama “por cuatro perras”.

Era el clásico fraude de “traslado militar”, una estafa digital muy extendida en la India. Pero en lugar de bloquear el número o caer en la trampa, la víctima afirma que decidió darle la vuelta a la situación usando precisamente la tecnología que a menudo se acusa de ayudar a los ciberdelincuentes: la inteligencia artificial.

Estafando al estafador

Según una detallada narración publicada en Reddit, el usuario conocido como u/RailfanHS utilizó ChatGPT de OpenAI para “codear por intuición” una web de rastreo. La trampa consiguió recopilar la ubicación y una fotografía del rostro del estafador, lo que llevó a un enfrentamiento digital dramático en el que el estafador supuestamente suplicó clemencia.

Aunque no se pudo verificar de forma independiente la identidad del usuario de Reddit y la persona concreta sigue siendo anónima, el método técnico descrito en la publicación ha sido analizado y validado por la comunidad de desarrolladores y entusiastas de la IA de la plataforma.

El incidente pone de relieve una tendencia creciente de “scambaiting”—justicia por cuenta propia en la que personas entendidas en tecnología tientan a los estafadores para hacerles perder el tiempo o exponer sus operaciones—que evoluciona con la ayuda de la IA generativa.

El encuentro, que fue ampliamente difundido en la India, comenzó con un guion familiar. El estafador envió fotos de los productos y un código QR, exigiendo un pago por adelantado. Simulando problemas técnicos con el escaneo, u/RailfanHS recurrió a ChatGPT.

Le dio al chatbot de IA una instrucción para generar una página web funcional diseñada para simular un portal de pagos. El código, descrito como una “página PHP de 80 líneas”, estaba secretamente diseñado para capturar las coordenadas GPS del visitante, la dirección IP y una instantánea de la cámara frontal.

El mecanismo de rastreo dependía en parte tanto de la ingeniería social como de una vulnerabilidad de software. Para sortear las características de seguridad del navegador que normalmente impiden el acceso silencioso a la cámara, el usuario dijo al estafador que necesitaba subir el código QR al enlace para “agilizar el proceso de pago”. Cuando el estafador visitó el sitio y pulsó un botón para subir la imagen, el navegador le pidió permiso para acceder a la cámara y la ubicación—permisos que concedió sin saberlo, apurado por asegurar el dinero. Imagen: RailfanHS en Reddit

“Impulsado por la avaricia, la prisa y confiando plenamente en la apariencia de un portal de transacciones, hizo clic en el enlace”, escribió u/RailfanHS en el hilo del subreddit r/delhi. “Recibí instantáneamente sus coordenadas GPS en tiempo real, su dirección IP y, lo más satisfactorio, una foto clara de cámara frontal de él sentado”.

La represalia fue inmediata. El profesional de TI envió los datos recopilados al estafador. El efecto, según la publicación, fue un pánico inmediato. Las líneas telefónicas del estafador bombardearon al usuario con llamadas, seguidas de mensajes pidiendo perdón y prometiendo abandonar su vida delictiva.

“Ahora suplicaba, insistiendo en que abandonaría por completo este trabajo y pidiendo desesperadamente otra oportunidad”, escribió RailfanHS. “No hace falta decir que probablemente estaría estafando a alguien la siguiente hora, pero vaya, la satisfacción de robarle a un ladrón es increíble”.

Redditors verifican el método

Aunque los relatos dramáticos de justicia en internet suelen generar escepticismo, las bases técnicas de esta trampa fueron verificadas por otros usuarios en el hilo. Un usuario con el nombre u/BumbleB3333 informó de haber replicado con éxito la “página web HTML de prueba” usando ChatGPT. Señaló que, aunque la IA pone límites a la creación de código malicioso para vigilancia silenciosa, genera con facilidad código para sitios legítimos que solicitan permisos al usuario—que es exactamente como cayó el estafador.

“Conseguí hacer una especie de página web HTML de prueba con ChatGPT. Captura la geolocalización cuando se sube una imagen después de pedir permiso”, comentó u/BumbleB3333, confirmando la viabilidad del truco. Otro usuario, u/STOP_DOWNVOTING, afirmó haber generado una “versión ética” del código que podría modificarse para funcionar de forma similar.

El autor original, que se identificó en los comentarios como gestor de producto de IA, reconoció que tuvo que usar instrucciones específicas para esquivar algunas de las restricciones de seguridad de ChatGPT. “Ya estoy acostumbrado a saltarme estas barreras con las indicaciones adecuadas”, señaló, añadiendo que alojó el script en un servidor privado virtual.

Los expertos en ciberseguridad advierten de que, aunque este tipo de “contrahacks” resultan satisfactorios, operan en un área legal gris y pueden conllevar riesgos. Aun así, es bastante tentador—y resulta en un espectáculo muy satisfactorio para el público.