"Protegiendo la inteligencia artificial: cómo los CISOs deben abordar las vulnerabilidades de seguridad en la era de la IA"

September 16, 2024 / Pablo

“Protegiendo la inteligencia artificial: cómo los CISOs deben abordar las vulnerabilidades de seguridad en la era de la IA”

La inteligencia artificial se ha convertido rápidamente en una parte fundamental de los negocios modernos, impulsando la innovación y la eficiencia en diversas industrias. Sin embargo, a medida que las empresas dependen más de la IA para manejar tareas sensibles, también se exponen a nuevas vulnerabilidades de seguridad. La integración de la IA en las operaciones significa que estas entidades se vuelven más autónomas y tienen acceso a datos y sistemas más sensibles. Esto presenta nuevos desafíos de ciberseguridad para los responsables de seguridad de la información (CISOs).

Las prácticas de seguridad tradicionales, diseñadas para usuarios humanos y máquinas convencionales, no son suficientes cuando se aplican a la IA. Por lo tanto, es crucial que las empresas aborden las vulnerabilidades emergentes para prevenir problemas de seguridad derivados de una integración descontrolada de la IA y proteger sus activos de datos más valiosos.

La IA: más que solo máquinas

Cada tipo de identidad tiene un rol y capacidad diferente. Los humanos suelen saber cómo proteger mejor sus contraseñas, evitando reutilizarlas o elegir contraseñas fáciles de adivinar. Las máquinas, como servidores y computadoras, también gestionan contraseñas, pero son vulnerables a brechas de seguridad y no pueden prevenir accesos no autorizados.

Las entidades de IA, como los chatbots, son difíciles de clasificar en términos de ciberseguridad. Estas identidades no humanas gestionan contraseñas críticas, pero difieren significativamente de las identidades de máquinas tradicionales. La IA no es ni una identidad humana ni una máquina; ocupa una posición única que combina el aprendizaje guiado por humanos con la autonomía de las máquinas, pero carece del juicio necesario para establecer límites y evitar compartir información confidencial.

Inversiones en aumento, seguridad rezagada

Las empresas están invirtiendo fuertemente en IA, con 432,000 organizaciones en el Reino Unido, que representan el 16%, reportando que han adoptado al menos una tecnología de IA. La adopción de la IA ya no es una tendencia, sino una necesidad, y se espera que el gasto en tecnologías emergentes siga aumentando en los próximos años. Actualmente, el mercado de IA en el Reino Unido está valorado en más de 16.8 mil millones de libras y se anticipa que crecerá a 801.6 mil millones de libras para 2035.

Sin embargo, la rápida inversión en IA a menudo supera las medidas de seguridad de identidad. Las empresas no siempre comprenden los riesgos que plantea la IA. Por lo tanto, seguir las mejores prácticas de seguridad o invertir suficiente tiempo en asegurar los sistemas de IA no siempre está en la lista de prioridades, dejando estos sistemas vulnerables a posibles ciberataques. Además, las prácticas de seguridad tradicionales, como los controles de acceso y las reglas de menor privilegio, no son fácilmente aplicables a los sistemas de IA.

El informe sobre el panorama de amenazas de seguridad de identidad de CyberArk 2024 revela que, aunque el 68% de las organizaciones del Reino Unido informan que hasta la mitad de sus identidades de máquina acceden a datos sensibles, solo el 35% incluye estas identidades en su definición de usuarios privilegiados y toma las medidas de seguridad necesarias. Esta omisión es arriesgada, ya que los sistemas de IA, cargados con datos de entrenamiento actualizados, se convierten en objetivos de alto valor para los atacantes.

La amenaza de ataques en la nube a los sistemas de IA

Las amenazas de seguridad a los sistemas de IA no son únicas, pero su alcance y escala podrían serlo. Los modelos de lenguaje (LLMs) actualizados constantemente con nuevos datos de entrenamiento se convierten rápidamente en objetivos para los atacantes una vez desplegados. Dado que deben usar datos reales y no de prueba para el entrenamiento, esta información actualizada puede revelar secretos corporativos valiosos y otros activos confidenciales. Los sistemas de IA confían inherentemente en los datos que reciben, lo que los hace particularmente susceptibles a ser engañados para divulgar información protegida.

Los ataques en la nube a los sistemas de IA permiten el movimiento lateral y el “jailbreaking”, lo que permite a los atacantes explotar las vulnerabilidades de un sistema y engañarlo para que difunda información errónea al público. Las violaciones de identidad y cuentas en la nube son comunes, con muchas brechas de alto perfil resultando de credenciales robadas, causando daños significativos a grandes marcas en los sectores tecnológico, bancario y de consumo.

La IA también puede ser utilizada para realizar ciberataques más complejos. Por ejemplo, permite a actores maliciosos analizar cada permiso vinculado a un rol particular dentro de una empresa y evaluar si pueden usar este permiso para acceder y moverse fácilmente por la organización.

Entonces, ¿cuál es el siguiente paso sensato? Las empresas aún están al principio de la integración de la IA y los LLMs, por lo que establecer prácticas sólidas de seguridad de identidad llevará tiempo. Sin embargo, los CISOs no pueden permitirse esperar; deben desarrollar estrategias proactivas para proteger las identidades de IA antes de que ocurra un ciberataque o que una nueva regulación los obligue a hacerlo.

Pasos clave para fortalecer la seguridad de la IA

Aunque no existe una solución de seguridad única para la IA, las empresas pueden implementar ciertas medidas para mitigar los riesgos. Algunas acciones clave que los CISOs pueden tomar para mejorar su postura de seguridad de identidad de IA son:

– Identificar superposiciones: Los CISOs deben priorizar la identificación de áreas donde se pueden aplicar las medidas de seguridad de identidad existentes a la IA. Aprovechar controles existentes, como la gestión de acceso y los principios de menor privilegio, puede ayudar a mejorar la seguridad.

– Proteger el entorno: Es crucial que los CISOs comprendan el entorno en el que opera la IA para protegerlo de la manera más eficiente posible. Aunque no es necesario comprar una plataforma de seguridad de IA, asegurar el entorno donde se lleva a cabo la actividad de IA es vital.

– Construir una cultura de seguridad de IA: Es difícil alentar a todos los empleados a adoptar las mejores prácticas de seguridad de identidad sin una mentalidad sólida de seguridad de IA. Involucrar a expertos en seguridad en proyectos de IA significa que pueden compartir su conocimiento y experiencia con todos los empleados y asegurarse de que todos estén bien informados sobre los riesgos del uso de la IA.

El uso de la IA en los negocios presenta grandes oportunidades y desafíos de seguridad sin precedentes. A medida que navegamos por este nuevo panorama, queda claro que las medidas de seguridad tradicionales son insuficientes para los riesgos únicos que presentan los sistemas de IA. El papel de los CISOs ya no se trata solo de gestionar amenazas cibernéticas convencionales; ahora implica reconocer la naturaleza distinta de las identidades de IA y asegurarles en consecuencia. Por lo tanto, las empresas deben asegurarse de invertir tiempo y recursos en encontrar el equilibrio adecuado entre innovación y seguridad para mantenerse al día con las últimas tendencias mientras protegen sus activos más valiosos.

Pablo

"La IA en el lugar de trabajo: Potencial no aprovechado y necesidad de regulación, revela investigación de 3M"

"OpenAI lanza modelos o1 que permiten a los usuarios de ChatGPT experimentar la IA que piensa antes de responder, revolucionando la forma en que interactuamos con la tecnología"

Categorías

Now Reading: “Protegiendo la inteligencia artificial: cómo los CISOs deben abordar las vulnerabilidades de seguridad en la era de la IA”