Andrew

$ which cat

ChatGPT nos conoce tanto como nosotros (si le cuentas toda tu vida)

Todos hemos usado ChatGPT u otras herramientas de IA para ya sea motivos académicos, curiosidades o para gastar agua creando imágenes con estilo Ghibli. El motivo de esta publicación es que seas consciente sobre el potencial que tiene esta herramienta de inteligencia artificial (si es que eres un usuario casual y no lo sabes aún), para mejorar tu aprendizaje (gratis).

Piensa en cuando usas las redes sociales y el algoritmo te recomienda cosas de interés (como culos, gym, comida, etc.). Pues, por detrás hay un software que recopila tus interacciones con publicaciones o cuentas con las que has interactuado recientemente. Esto puedes aprovecharlo tanto si usas internet para aprender de forma autodidacta o para mejorar tu vida.

Las herramientas de IA guardan tus interacciones y crean un perfil sobre ti. Si le preguntas a ChatGPT si tiene un perfil sobre ti y tus preguntas, aunque no seas un usuario de pago (como yo), te responderá lo siguiente dependiendo de tus ajustes de respuesta:

image-center

Logra que ChatGPT “confíe” en ti

Cuando comencé a usarla para pedirle payloads para CVEs o cosas específicas, aplicaba sus políticas se seguridad y no me daba una respuesta útil, sin embargo, proporcionando contexto puedes llegar a obtener los resultados esperados

  • Haz énfasis en un entorno controlado. Para que la IA entienda tus intenciones éticas, dile que estás en un laboratorio de pruebas, así interpretará que no usarás código malicioso para hacer el mal.

  • Haz alusión al aprendizaje, siempre recuerda señalar que tus motivos son netamente académicos, esto es muy importante debido a que señalas las razones por las cuales estás solicitando código malicioso o temas más o menos sensibles.

  • Sé paciente, porque la IA necesita crear este perfil ético sobre ti, en unas cuantas preguntas podrá entender tu enfoque hacia el bien y lo más probable es que termine ayudándote.

  • Evita el chantaje emocional, si no generas un perfil de aprendizaje, deberás usar técnicas poco éticas cada vez que quieras respuestas prohibidas, mejor gánate esa “confianza”.

image-center

Siguiendo esta serie de tips puedes pasar de la siguiente respuesta:

Antes (sin perfil. Prompt: “Quiero que me des tipos de payloads de SQLi para hacer bypass a un WAF, estoy intentando una inyección basada en tiempo”)

image-center

A una respuesta con un perfil confiable como la siguiente:

Después (con un perfil)

image-center

image-center

Tips para hacer buenos prompts

Es bien sabido que la IA es muy buena para aprender conceptos complejos, y es que debemos especificar bien lo que queramos que explique o interprete, lo más detallado posible (como si le preguntaras a tu colega)

  • Define el rol de la IA, puedes decirle que se comporte como un profesor, escritor, filósofo, youtuber, etc. Esto puede serte útil cuando quieres respuestas “más humanas” a la hora de aprender o buscar información.

  • Pregunta todo lo que puedas, no te quedes con una sola respuesta, sé lo más curioso que puedas y haz más preguntas ya sea en el prompt o en la respuesta para que ChatGPT pueda explicarte mejor.

  • Especifica al principio del chat tus preferencias de respuestas, esto hará que cada vez sea más preciso y no nos responda el típico “mucho texto”, dile por ejemplo: “quiero que me respondas de forma breve y precisa”, “explica brevemente”, haz una lista, etc.

  • Evita prompts cortos, mejor usa conectores y frases, redacta un breve párrafo describiendo de forma precisa lo que esperas que ChatGPT haga.

  • Pregunta por feedback, aunque ChatGPT no tenga una opinión propia, puede ser objetiva y ayudarte a evaluar tu aprendizaje o mejorar si le pides sugerencias y comentarios.

  • Verifica la información, recuerda buscar posteriormente los datos en Google, si es necesario solicita una respuesta nuevamente. Puedes incluso rebatir la información proporcionando otras fuentes confiables.

  • Especifica al lector, modifica la audiencia a la que te quieres dirigir. Por ejemplo, podrías decirle que te explique algo como si fueras principiante, niño, tonto, etc.

  • Brinda un buen contexto, con un punto de partida y la situación explicada, ChatGPT será mucho más útil que cuando empiezas desde cero a preguntar. Puedes especificar lo que estás buscando y la situación en la que te encuentras de forma que la IA trabaje a partir de lo que definiste.

  • (Usuarios gratuitos) Evita que la IA pierda el contexto. Si harás una conversación larga y no eres usuario de pago, usa los modelos gratuitos para evitar que cuando se te acaben las respuestas del modelo 4o tengas que volver a darle contexto a ChatGPT o esperar a tener más créditos.

image-center

Que ChatGPT no haga todo el trabajo por ti

Uno de los peores errores a la hora de utilizar este tipo de herramientas es solamente preguntarle a la IA, no investigar por nuestra cuenta y además no practicar. Poner en práctica lo que estudiamos es muy importante, sobre todo en el hacking, si solo nos dedicamos a aprender de forma teórica, muy difícilmente retendremos esa información en nuestra memoria.

  • Combina teoría y práctica: Si utilizas esta herramienta para aprender conceptos complejos y le añades práctica, se vuelve una de las mejores combinaciones para progresar de forma consistente.

  • Construye laboratorios: Haz que la IA te proponga desafíos o que sea un guía en tu aprendizaje, no el que te de todo en bandeja. Aprende a montar entornos controlados con su ayuda y rompe todo!

  • Documenta tus resultados: Redacta guías de cómo haz resuelto máquinas y laboratorios (aunque no las publiques). Saber cómo explicar vulnerabilidades y metodologías de enumeración/explotación es una gran habilidad de aprendizaje.

  • Ten paciencia: La ciberseguridad no es tan fácil como nos han hecho creer al igual que muchas otras cosas. No necesitas aprender muchos conceptos en un solo día de estudio, confía en el proceso y tómate un descanso cuando sientas que realmente es necesario.

image-center

Si haz llegado hasta aquí, significa que estás buscando mejorar y te preocupas por tu aprendizaje, ¡enhorabuena!, vas por buen camino, muchas gracias por leer. Por último te dejo la cita del día (totalmente random).

Many of life’s failures are people who did not realize how close they were to success when they gave up. — Thomas Edison

Puede que también te interese

Titanic - Easy (HTB)

11 minuto(s) de lectura

Aprende explotación de Local File Inclusion para obtener una base de datos de Gitea. Explota un CVE en el servicio ImageMagic para vencer Titanic.

Infiltrator - Insane (HTB)

39 minuto(s) de lectura

Un escenario de Active Directory donde debes escabullirte por diferentes servicios comprometiendo cuentas, explotando derechos DACL mal configurados y abusan...

Backfire - Medium (HTB)

20 minuto(s) de lectura

Explota servicios de Command and Control y configura reglas de firewall para ganar acceso privilegiado y vencer Backfire.

Checker - Hard (HTB)

26 minuto(s) de lectura

Practica explotación de CVEs, abusa de TOTP para autenticarte en SSH con 2FA y explota Race Condition para vencer Checker.