Vale, hablemos del auge de las herramientas de inteligencia artificial (IA) y de cómo abordarlas desde el punto de vista de la ciberseguridad dentro de tu organización.
En el último año, las herramientas de IA como Midjourney, Stable Diffusion, Dall-E, ChatGPT, Jasper, LLaMa, Rewind, entre otras, han dejado de ser un nicho para convertirse en una tendencia dominante que afianza el panpsiquismo total. Es posible que te hayan fascinado, como a mi, los casos de uso imaginativos en cuanto a investigación, creatividad y productividad se refiere. Si has utilizado alguna de estas herramientas, sabes que es hipnótico ver cómo interpretan las instrucciones, generan respuestas y, con solo unas pocas interacciones del usuario, afinan y añaden un nivel de detalle en sus resultados.
La rapidez y la facilidad de uso de estas herramientas, independientemente del nivel de los usuarios, representan un verdadero avance. Personalmente, me parece que los resultados de los grandes modelos lingüísticos son menos convincentes que sus equivalentes visuales, pero en general el proceso interactivo y "generativo" es notable. En comparación con los recursos abiertos existentes, como Google, StackOverflow y Wikipedia, las herramientas de IA generativa representan un increíble avance, ya que ofrecen resultados basados en el uso, aprovechando las interacciones, en lugar de limitarse a proporcionar información general. La inteligencia y velocidad que ofrecen estas herramientas permiten que la interacción supere los métodos tradicionales de búsqueda, recuperación y síntesis, colando así la información en primer plano en la práctica.
Tomemos como ejemplo esta imagen que ves a continuación, que "imaginé" con Midjourney: "Una pintura mural de una antigua civilización en la que los jeroglíficos parecen mostrar una civilización que utiliza un ordenador e inteligencia artificial, iluminada por un fuego".
Imagen generada por la herramienta de IA Midjourney que he imaginado
Dentro de nuestras organizaciones colectivas, existen oportunidades increíbles para utilizar herramientas de IA. Podemos utilizarlas para generar código informático, desarrollar documentación para usuarios y contenidos para consumidores, reducir la carga de los servicios de atención al cliente o producir bases de conocimiento más útiles para la incorporación de nuevos empleados y el intercambio de conocimientos entre organizaciones. Estos y otros casos de uso podrían generar, en última instancia, miles de millones de dólares en nuevo valor comercial y empresarial.
Para divertirme, pedí a ChatGPT que redactara una política corporativa con listas de comprobación para que el director de seguridad de la información validara los riesgos de seguridad actuales con herramientas de IA, y que me proporcionara un resumen de una página como portada para el consejo de administración y el equipo de liderazgo ejecutivo y aquí está la respuesta que recibí.
Si eres como yo, es probable que estés nervioso por los problemas legales y de seguridad evidentes que presentan estas herramientas, además de su asombroso potencial. Como líderes, deberíamos preguntarnos: "¿Estoy en sintonía con la totalidad de mi organización sobre los riesgos y las oportunidades potenciales que presentan las tecnologías de IA?" y, en caso afirmativo, ¿cómo me aseguro de que el uso que hacemos de estas herramientas no provoque daños graves?
Cuando me reúno con mis colegas del sector de la ciberseguridad, la mitad de ellos bloquean totalmente el acceso a estas tecnologías, mientras que la otra mitad las aprovechan. Ya he visto antes como las medidas de bloqueo total resuelven un riesgo para la seguridad. El resultado de esta postura para los responsables de seguridad es que nos encontramos a la zaga de nuestro sector y de nuestros colegas, que siempre encuentran formas de posicionarse. Por tanto, es el momento de abordar esta división, de evitar el ludismo y, en su lugar, lidiar con la realidad de que los empleados de nuestras organizaciones ya están utilizando estas herramientas, y con liderazgo, podemos permitirlo de forma que se reduzcan los riesgos potenciales.
¿Por dónde empezamos? Establecer unas cuantas directrices clave para nuestras organizaciones puede ayudar a reducir el riesgo sin paralizar el potencial que ofrecen las herramientas de IA.
1. Mantén los datos privados fuera de los sistemas abiertos.Puede parecer obvio, pero no podemos proporcionar información muy regulada, datos controlados o código fuente en un modelo de IA abierto o fuera de nuestro control. Del mismo modo, también debemos evitar introducir datos de clientes, información de empleados u otros datos privados en herramientas de IA abiertas. Por desgracia, podemos encontrar ejemplos de este tipo de acciones todos los días. (Véase, por ejemplo, el incidente de la filtración de código en Samsung). El problema es que la mayoría de las herramientas de IA generativa no garantizan la privacidad de esta información. De hecho, dejan claro que utilizan la información para realizar investigaciones y, en última instancia, mejorar resultados futuros. Así que, como mínimo, las organizaciones podrían tener que actualizar las políticas de confidencialidad y formar a los empleados para ayudar a garantizar que la información confidencial permanezca fuera de estas herramientas de IA.
2. Garantiza la veracidad para evitar responsabilidades. Si alguna vez has interactuado con una herramienta de IA, puede que sepas que las respuestas a las preguntas a menudo no tienen contexto. Ademas, te habrás dado cuenta también que esas respuestas no siempre son exactas. Puede que algunas respuestas no estén actualizadas. ChatGPT, por ejemplo, utiliza información recopilada hasta septiembre de 2021.
Fuente de la imagen: ChatGPT
Por supuesto, todos sabemos que el actual Primer Ministro es Rishi Sunak, y que Liz Truss fue la sucesora de Boris Johnson. Esta respuesta y limitación actual no disminuye la eficacia de estas herramientas, pero nos ayuda a comprender mejor los riesgos actuales, como demuestra este ejemplo en el que abogados que utilizaron contenido generado por IA en expedientes judiciales, descubrieron que el contenido hacía referencia a casos completamente ficticios.
3. Prepárate para la "IA ofensiva". Como ocurre con muchas nuevas tecnologías, los ciberdelincuentes se han apresurado a usar las herramientas de IA con fines delictivos. ¿Cómo utilizan los atacantes la IA para fines malintencionados? Podrían encontrar una imagen tuya o una grabación de tu voz en Internet, y luego crear un "deepfake" utilizando herramientas de IA. Podrían hacerse pasar por ti para malversar fondos de la empresa o suplantar a colegas, dejando mensajes de voz fraudulentos que pidan credenciales de inicio de sesión. Las herramientas de IA también se podrían utilizar para generar código malicioso que aprenda rápidamente y mejore su capacidad para llevar a cabo sus objetivos.
Combatir el uso malicioso de la IA podría requerir... IA. Las herramientas de seguridad que incorporan capacidades de IA y aprendizaje automático pueden ofrecer buenos sistemas de protección contra la velocidad y la inteligencia de los ataques ofensivos de IA. Capacidades de seguridad adicionales pueden ayudar a las organizaciones a supervisar el uso de las herramientas de IA, restringir el acceso a determinadas herramientas o limitar la capacidad de cargar información confidencial.
Entonces, ¿cómo te proteges de los riesgos que pueden presentar las herramientas de IA? El primer paso es reconocer que la IA es una realidad que ha venido para quedarse. Las herramientas de IA generativa disponibles hoy en día muestran el tremendo potencial de la IA para ayudar a las empresas a mejorar la eficiencia, impulsar la productividad e incluso despertar la creatividad. Aun así, como responsables en ciberseguridad, debemos ser conscientes de los posibles desafíos de seguridad que pueden plantear estas herramientas. La implementación de las directrices adecuadas, el aumento de la formación interna y, en algunos casos, la adopción de nuevas soluciones de seguridad, pueden ayudarte a reducir la probabilidad de que estas herramientas de IA, potencialmente eficaces, se conviertan en un problema.
Cloudflare ha adoptado un enfoque Zero Trust para facilitar el uso de la IA, protegiendo al mismo tiempo su red y a sus empleados. Descubre cómo Cloudflare prepara a las organizaciones para que hagan lo mismo.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Oren Falkowitz — @orenfalkowitz
Responsable de seguridad, Cloudflare
Después de leer este artículo podrás entender:
Cómo las herramientas de IA plantean nuevos desafíos de seguridad organizativa
Dónde se sitúa tu organización en la revolución de la IA
3 formas de reducir el riesgo sin reducir el potencial que ofrecen las herramientas de IA
Si alguna vez has sido blanco de un ataque, volverás a serlo
Cómo aprendí a dejar de preocuparme y aceptar la conformidad