En términos de publicidad, actualmente nada está más de moda que la IA; Blockchain tiene eslabones débiles, el Metaverso tampoco está destacando en esta parte del multiverso, e incluso, el Big Data ahora parece pequeño. Como suele ocurrir con la mayoría de las nuevas tecnologías, la IA generativa presenta muchas oportunidades, pero también muchos riesgos. La IA está impulsando la productividad actuando como asistente virtual para los empleados. Sin embargo, desde la perspectiva del riesgo, tenemos que considerar dos dimensiones: el riesgo autoinfligido y el riesgo externo.
El riesgo autoinfligido ocurre cuando los empleados de una organización comienzan a usar IA para que ésta les sugiera contenidos, ya sea a través de una consulta o en el contexto de lo que están creando. A menos que los datos estén adecuadamente protegidos, nada impedirá a la IA que analice su contenido y revele su ruta de acceso, así como información financiera y otra información valiosa, a personas que no deberían tener acceso.
Para ayudar a mitigar este riesgo, Microsoft recomienda a las empresas proteger adecuadamente sus datos confidenciales antes de implementar su asistente de inteligencia artificial, Copilot. Microsoft sugiere «asegurarse de que su organización tenga implementado adecuadamente los controles y políticas de acceso a la información».
La realidad es que implementar políticas y controles de acceso resulta mucho más difícil de lo que la mayoría de las organizaciones creen. Es probable que esto se vuelva más difícil a medida que la IA aumenta cada vez más el volumen de los datos que creamos y que debemos proteger.
Sin los controles adecuados, la IA no sabrá quién debería acceder a dicha información. Las organizaciones quedarían expuestas, de la misma manera que cuando activan plataformas de búsqueda empresarial, pero mucho peor. Si esto sucede, los empleados ni siquiera necesitarán buscar el contenido que quieren acceder o robar; La IA estará encantada de hacerlo por ellos.
Cómo aprovechan los atacantes la IA
El riesgo externo seguirá aumentando a medida que los ciberdelincuentes aprendan a utilizar la IA. Ya se han detectado ataques como WormGPT y FraudGPT utilizan los Grandes Modelos de Lenguaje (LLM) para ayudar a los atacantes a crear correos electrónicos de phishing convincentes y traducirlos a otros idiomas.
Los ciberdelincuentes también están creando conjuntos de datos falsos basados en antiguas brechas de seguridad; afirman que han robado datos de empresas, reforzando así su reputación como posibles atacantes y engañar así a estas empresas para que paguen un rescate para recuperarlos. La IA generativa podría aumentar este volumen de datos y hacer que sea más difícil distinguir entre una infracción real y una falsa.
Los investigadores ya han utilizado la IA para crear malware como prueba de concepto, y pronto deberíamos ver malware generado por IA. Por este motivo, el uso de la IA seguirá reduciendo las barreras de entrada a todo tipo de ciber villanos.
Estos son solo algunos de los riesgos que presenta la IA y, al ritmo que avanza esta tecnología, aparecerán muchos más. Pronto, la IA generativa será capaz de generar por sí sola nuevas ciber amenazas.
Preparando a las organizaciones para la IA
- Realice un informe de riesgos para identificar sus datos confidenciales en riesgo antes de que sean descubiertos por una IA «amigable» o «no amigable» dirigida por atacantes. Sus datos hacen que la IA sea valiosa, por lo tanto, hay que protegerlos. Las organizaciones actualmente desconocen dónde se almacenan sus datos importantes y quién tiene acceso a ellos.
- Proteja sus datos, especialmente los críticos. Una vez que una organización es capaz de identificar sus datos importantes durante una evaluación, estos casi siempre se encuentran en repositorios con demasiado acceso, donde, además, se descubre un uso inusual. A estos datos, sólo deberían poder acceder las personas autorizadas para poder realizar su trabajo, nada más.
- Cuide sus datos. No sabemos qué nuevas técnicas de IA utilizarán los atacantes, pero sí sabemos para qué las utilizarán: para robar su información crítica. Nunca ha sido más importante monitorizar cómo los humanos y las aplicaciones usan los datos para buscar actividades no deseadas. Los bancos y las empresas de medios de pago han estado monitorizando las transacciones financieras durante años para detectar delitos financieros. Todas las empresas que tengan datos valiosos deberían ya monitorizar el uso de los mismos para detectar posibles delitos.
Aunque es cierto que algunas tecnologías novedosas de moda alcanzan pronto su punto máximo y caen en la obsolescencia, es casi seguro que la IA sobrevivirá a cualquier expectativa. Si sus datos no están adecuadamente protegidos, la IA (amigable o no) podría aumentar la probabilidad de una brecha de seguridad. Hasta donde sabemos, la IA no puede acceder a los datos adecuadamente protegidos, así que prioricemos esa acción para garantizar que esta tecnología funcione a nuestro favor y no en nuestra contra.
Julián Domínguez, Iberia Sales Manager, Varonis
