AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

OpenAI prepara “Go”, un nuevo plan de suscripción más económico que ChatGPT Plus

admin

1. Introducción

OpenAI, la compañía líder en inteligencia artificial generativa, está desarrollando un nuevo plan de suscripción denominado “Go” para su plataforma ChatGPT. Esta nueva modalidad apunta a ofrecer acceso a las capacidades de la IA a un precio inferior al actual ChatGPT Plus, que tiene un coste de 20 dólares mensuales. La aparición de “Go” responde tanto a la creciente demanda de servicios más asequibles como a la necesidad de segmentar la oferta en función de los diferentes perfiles de usuarios, incluyendo profesionales del sector tecnológico, equipos de seguridad y desarrolladores de automatizaciones.

2. Contexto del Incidente o Vulnerabilidad

Aunque en esta ocasión no se trata de una vulnerabilidad en sentido estricto, la noticia tiene un fuerte impacto en el ecosistema de ciberseguridad. El uso masivo de IA generativa por parte de analistas SOC, consultores y pentesters es cada vez más habitual, tanto para automatización de tareas como para generación de scripts, análisis de logs o identificación de patrones maliciosos. Sin embargo, el coste de acceso a modelos avanzados (GPT-4 y superiores) ha supuesto una barrera para equipos pequeños o profesionales individuales. OpenAI busca ahora democratizar aún más el acceso, lo que podría alterar el equilibrio de herramientas y recursos en el sector.

3. Detalles Técnicos

Las filtraciones sobre el plan “Go” apuntan a que se trataría de una suscripción que, por un precio inferior a los 20 dólares de ChatGPT Plus, permitiría acceso limitado a modelos avanzados, presumiblemente GPT-4 o variantes optimizadas. Aunque no se han publicado oficialmente las características técnicas, se especula con que “Go” podría restringir la cantidad de prompts diarios, limitar la prioridad en tiempos de respuesta o reducir la disponibilidad de ciertas integraciones (por ejemplo, la ejecución de código o el acceso a plugins avanzados).

Desde un punto de vista de ciberseguridad, el acceso masivo y económico a modelos de IA puede facilitar el desarrollo y testeo de exploits, generación automatizada de payloads y mejora de flujos en frameworks como Metasploit o Cobalt Strike, especialmente en las fases de Reconocimiento (T1595), Desarrollo de Capacidades (T1587) y Automatización de Scripts (T1059), según la matriz MITRE ATT&CK. Además, la posibilidad de integración mediante API es clave para la orquestación de respuestas en entornos SOC y la creación de scripts personalizados.

4. Impacto y Riesgos

El lanzamiento de un plan más asequible podría tener un doble filo en términos de seguridad. Por un lado, permitirá a los defensores y equipos “blue team” acceder a capacidades avanzadas de análisis, generación de informes, traducción de indicadores de compromiso (IoC) y simulación de ataques. Por otro, podría facilitar el acceso a actores de amenazas con menos recursos, democratizando la capacidad de desarrollar ingeniería social, phishing personalizado o incluso automatizar partes del ciclo de ataque.

El riesgo de abuso de la IA, especialmente en la creación de contenido malicioso y scripts automatizados, es un tema recurrente en foros especializados. Según datos recientes, el 51% de los incidentes de phishing detectados en el segundo semestre de 2023 incluyó algún tipo de automatización apoyada en IA generativa. Además, la ampliación del acceso puede aumentar el volumen de tráfico sospechoso generado desde entornos aparentemente legítimos, dificultando la aplicación de políticas de detección basadas en comportamiento.

5. Medidas de Mitigación y Recomendaciones

Para los equipos de ciberseguridad, se recomienda revisar y reforzar las políticas de uso de IA, tanto en lo relativo a la gestión de credenciales API como en la monitorización de flujos de datos sensibles. Es fundamental asegurar la segmentación de entornos y la limitación de privilegios, especialmente si se van a integrar capacidades de IA en procesos automatizados dentro del SOC o en la administración de sistemas.

Desde el punto de vista normativo, es crucial recordar que la utilización de servicios de IA debe cumplir con el GDPR y, en el caso de operadores de servicios esenciales, con la Directiva NIS2. Se aconseja realizar evaluaciones de impacto en protección de datos (DPIA) y mantener registros claros de las interacciones con la IA, especialmente si se procesan datos personales o confidenciales.

6. Opinión de Expertos

Varios analistas del sector consideran que la estrategia de OpenAI puede acelerar la adopción de IA en ciberseguridad, pero advierten sobre el riesgo de que modelos avanzados acaben siendo utilizados para automatizar amenazas a gran escala. “El acceso económico a capacidades generativas es una ventaja para la defensa, pero también para la ofensiva”, señala un CISO de una entidad financiera española. Otros expertos destacan la importancia de combinar la IA con soluciones de autenticación robusta y monitorización continua.

7. Implicaciones para Empresas y Usuarios

Para las empresas, la llegada de “Go” puede suponer una reducción de costes y una ampliación de capacidades en la automatización de tareas de seguridad, generación de informes y análisis de amenazas. Sin embargo, es imprescindible establecer controles de uso y formación específica para evitar fugas de información o dependencias excesivas de soluciones externas.

Los usuarios individuales, especialmente profesionales freelance o pequeños despachos, podrán acceder a herramientas antes reservadas a grandes compañías, lo que puede igualar el terreno de juego en el sector. No obstante, la responsabilidad sobre el buen uso de la herramienta sigue recayendo en cada organización y profesional.

8. Conclusiones

El plan “Go” de OpenAI representa un cambio relevante en la accesibilidad de la inteligencia artificial generativa, con un impacto directo en la operativa diaria de los equipos de ciberseguridad. Democratizar la IA puede reforzar la defensa, pero también abre la puerta a nuevas amenazas y retos regulatorios. El equilibrio entre acceso, seguridad y cumplimiento normativo será clave en los próximos meses.

(Fuente: www.bleepingcomputer.com)