IA y seguridad: ¿dónde está el equilibrio?

Que la IA esté inundando todos los aspectos de cualquier negocio en la actualidad no sorprende a nadie; de hecho, ni la TI ni la seguridad se libran. El papel de la IA para consolidar software y sistemas ha adquirido un carácter esencial para las empresas. Mientras tanto, los ciberdelincuentes están invirtiendo en IA para ampliar la escala y el alcance de sus ataques. Los ejemplos modernos de IA han llevado a los expertos a especular con que la propia IA será una amenaza para las empresas, ya que puede ser manipulada para fines no autorizados.

Lo normal es que las vulnerabilidades que aparecen relativas a ciberseguridad se atribuyan a problemas dentro de la arquitectura del sistema. En cambio, la IA introduce nuevas vulnerabilidades debido a sus complejos modelos de datos e interdependencias. Esta doble naturaleza de la IA plantea un auténtico desafío para la seguridad de las organizaciones. Imagínese una situación en la que un sistema de IA que defiende la infraestructura se enfrenta a otro sistema de IA diseñado únicamente para corromperlo.

La promesa de la IA

Las prácticas de IA existen desde hace muchos años en algunos de los mayores proveedores de tecnología. La promesa de reducir costes, resolver problemas, aumentar los beneficios y otras muchas están a su alcance. Estas ventajas se derivan principalmente de la capacidad de la IA para automatizar tareas que antes requerían de la intervención humana especializada y experimentada. En esta misma línea, es clave la capacidad de detectar las desviaciones o anomalías más pequeñas de forma rápida y precisa, así como minimizar o eliminar las pérdidas; además de maximizar los beneficios empresariales. Estas ventajas pueden ayudar a una organización a superar a la competencia.

Para la ciberseguridad es igual. Llevamos años escuchando que la IA podrá proteger mejor nuestros activos de TI y nuestra propiedad intelectual. Ahora vemos a muchos proveedores de ciberseguridad planificando o implementando funciones:

• La IA puede crear configuraciones complejas haciendo preguntas sobre un negocio.
• La IA extrae repositorios de datos para responder a preguntas de los usuarios.
• La IA encuentra mutaciones en tiempo real y puede remediar los sistemas infectados.

Con la escasez de talento en ciberseguridad, la IA está empezando a cubrir esa brecha y proporcionar las comprobaciones, así como los equilibrios tan necesarios que nos han prometido durante años.     

Conozca los riesgos

La posible opacidad de la IA es un motivo de preocupación. Con el avance de la IA, muchos más ciberdelincuentes podrán atacar. Estas nuevas amenazas podrían redefinir el panorama de la seguridad con la IA y abrir nuevas vías para los ciberataques. Los ataques, sin cargas causadas por las limitaciones humanas, son una amenaza permanente, con capacidad de generar eventos simultáneos ilimitados. Hay algunos ejemplos que destacan este peligro emergente:

• Funciones de la IA, como el reconocimiento de patrones y el procesamiento del lenguaje natural, que se pueden utilizar para engañar y suplantar a las personas. Se puede engañar incluso a los miembros cercanos de un equipo, según se ha podido comprobar recientemente.
• La IA que se usa para analizar comportamientos humanos, estados de ánimo, perfiles y tendencias puede ofrecer nuevas herramientas a los posibles atacantes, poniendo en riesgo los sistemas de seguridad, al atacar directamente el ransomware, influir en la opinión pública y mucho más.

Redefina la estrategia de defensa

Las empresas que consideren la IA para sus productos, su seguridad corporativa o para cualquier otro fin deben tener en cuenta la posibilidad de que la propia IA pueda manipularse empleando conjuntos de datos alterados para interferir en los comportamientos deseados originalmente.

El auge de las amenazas impulsadas por la IA marca un momento crucial en la seguridad cibernética y física. El progreso supone la aparición de vulnerabilidades y la innovación conlleva riesgos. Las empresas deben adaptarse, de forma que redefinan las defensas y estrategias para navegar por este panorama en constante cambio. La vigilancia es primordial ante la doble naturaleza de la IA.  

Aunque queda mucho trabajo pendiente relacionado con definir estándares, gobernanza y ética en torno al uso adecuado de la IA, los expertos sugieren crear un marco de cumplimiento de la IA similar al Estándar de seguridad de datos de la industria de tarjetas de pago (DSS de PCI, por sus siglas en inglés).

Hasta que surja un marco de cumplimiento, la implementación de la IA debe utilizar un enfoque basado en las mejores prácticas:

• Examinar todo el ciclo de vida del producto o sistema de la IA en busca de vulnerabilidades y oportunidades.  
• Evaluar la seguridad, disponibilidad y acceso a los datos que se utilizan para entrenar algoritmos de la IA.
• Determinar la verdadera rentabilidad de la inversión de la IA en productos y sistemas.
• Identificar un plan de mitigación de amenazas de la IA y añadir una planificación de recuperación, así como de acción al plan de seguridad empresarial.

Arrow capacita a los proveedores de soluciones y servicios de TI para que comprendan, ejecuten y capitalicen la seguridad en todas sus actividades. Consulte nuestra web o comuníquese con un representante de Arrow para obtener más información sobre nuestros productos, soluciones y capacidades de seguridad.