La rápida adopción de la IA generativa plantea retos de seguridad

Los equipos de ciberseguridad se están quedando atrás ante la adopción de herramientas de inteligencia artificial generativa (GenAI), lo que hace probable que el número de incidentes de violación de datos aumente considerablemente en las próximas semanas y meses, especialmente a medida que siga aumentando el uso de servicios de IA en la sombra.

Una encuesta de ManageEngine revela que el 70 % de los responsables de la toma de decisiones de TI (ITDM) han identificado un uso no autorizado de la IA dentro de sus organizaciones y que el 60 % de los empleados utilizan herramientas de IA no aprobadas más que hace un año. El 91 % ha implementado políticas, pero solo el 54 % ha aprobado políticas de gobernanza de la IA claras y aplicadas, y supervisa activamente el uso no autorizado de herramientas de IA generativa.

El 85 % también afirma que los empleados están adoptando herramientas de IA más rápido de lo que pueden evaluarlas sus equipos de TI, y que el 32 % de los empleados ha introducido datos confidenciales de clientes en herramientas de IA sin requerir aprobación de la empresa. Más de dos tercios (37 %) han introducido datos privados e internos de la empresa. Más de la mitad (53 %) afirma que el uso de dispositivos personales para tareas de IA relacionadas con el trabajo está creando un punto ciego en la postura de seguridad de su organización.

Un informe independiente de Harmonic Security revela que el 8,5 % de las solicitudes de los empleados a herramientas generativas incluyen datos corporativos confidenciales. Casi la mitad de los datos introducidos (48 %) eran datos de clientes, frente al 27 % que introdujeron datos confidenciales de empleados.

La lista de posibles problemas de ciberseguridad (además de la fuga de datos) que deben abordarse incluye los ataques de inyección de comandos que generan resultados maliciosos o extraen datos confidenciales; el envenenamiento deliberado de los datos utilizados para entrenar los modelos de IA; los ciberataques dirigidos específicamente a la infraestructura de IA y la cadena de suministro de software utilizada para construir modelos de IA; y el robo de los propios modelos de IA.

En este momento, no es viable prohibir el uso de herramientas de IA generativa, por lo que, en lugar de esperar a que se produzca la violación inevitable, muchos equipos de ciberseguridad están tomando medidas proactivas para detectar, auditar y supervisar el uso de la IA generativa. Con esta información, es posible definir un conjunto de políticas de gobernanza en torno a un conjunto de herramientas y flujos de trabajo de IA generativa autorizados, examinados por los equipos de ciberseguridad.

Puede que no sea posible prevenir todos los incidentes que surgirán a medida que se generalice el uso de las herramientas y plataformas de IA generativa, pero es de esperar que, con algo de formación adicional, se pueda reducir drásticamente el número de violaciones graves.

Por supuesto, no es la primera vez que los profesionales de la ciberseguridad se ven obligados a ir a la zaga de una tecnología emergente. En muchos sentidos, la adopción de herramientas y plataformas de IA generativa no es más que el ejemplo más reciente de los servicios de computación en la nube en la sombra. La única diferencia es la cantidad de datos confidenciales que se comparten, lo que sugiere que son demasiados los empleados que aún no han aprendido la lección de los incidentes de seguridad en la nube anteriores relacionados, por ejemplo, con las aplicaciones de software como servicio (SaaS).

Los equipos de ciberseguridad tendrán que hacer acopio de paciencia para hacer frente a los incidentes de seguridad relacionados con la IA generativa, pero también pueden surgir oportunidades de aprendizaje. Al fin y al cabo, como afirmaba Winston Churchill, nunca hay que dejar que una buena crisis se desperdicie.