La inteligencia artificial se ha convertido rápidamente en un pilar fundamental de los negocios modernos, impulsando la innovación y la eficiencia en todas las industrias. Sin embargo, a medida que las empresas dependen cada vez más de la IA para manejar tareas sensibles, también se están exponiendo a nuevas vulnerabilidades de seguridad.
La integración de la IA en las operaciones empresariales significa que las entidades de IA se vuelven más autónomas y tienen acceso a datos y sistemas más sensibles. Como resultado, los CISOs se enfrentan a nuevos desafíos de ciberseguridad. Las prácticas de seguridad tradicionales, diseñadas para usuarios humanos y máquinas convencionales, son insuficientes cuando se aplican a la IA. Por lo tanto, es vital que las empresas aborden las vulnerabilidades emergentes si quieren prevenir problemas de seguridad derivados de una integración de IA no controlada y proteger sus activos de datos más valiosos.
Andy Thompson
Navegación de enlaces sociales
Evangelista de Investigación Ofensiva en CyberArk Labs.
IA: Más que solo máquinas
Cada tipo de identidad tiene un papel y una capacidad diferentes. Los humanos suelen saber cómo proteger mejor sus contraseñas. Por ejemplo, parece bastante obvio para cada individuo que deberían evitar reutilizar la misma contraseña varias veces o elegir una que sea muy fácil de adivinar. Las máquinas, incluidos servidores y computadoras, a menudo almacenan o gestionan contraseñas, pero son vulnerables a brechas y no tienen la capacidad de prevenir el acceso no autorizado.
Las entidades de IA, incluidos los chatbots, son difíciles de clasificar en cuanto a ciberseguridad. Estas identidades no humanas gestionan contraseñas empresariales críticas y difieren significativamente de las identidades de máquinas tradicionales como software, dispositivos, máquinas virtuales, APIs y bots. Por lo tanto, la IA no es una identidad humana ni una identidad de máquina; se encuentra en una posición única. Combina el aprendizaje guiado por humanos con la autonomía de la máquina y necesita acceso a otros sistemas para funcionar. Sin embargo, carece del juicio para establecer límites y prevenir la divulgación de información confidencial.
Inversiones en aumento, seguridad rezagada
Las empresas están invirtiendo fuertemente en IA, con 432,000 organizaciones en el Reino Unido, lo que representa el 16%, reportando que han adoptado al menos una tecnología de IA. La adopción de IA ya no es una tendencia; es una necesidad, por lo que el gasto en tecnologías emergentes se espera que siga aumentando en los próximos años. El mercado de IA del Reino Unido actualmente vale más de £16.8 mil millones y se espera que crezca a £801.6 mil millones para 2035.
Sin embargo, la rápida inversión en IA a menudo supera las medidas de seguridad de identidad. Las empresas no siempre entienden los riesgos que plantea la IA. Como tal, seguir las mejores prácticas de seguridad o invertir suficiente tiempo en asegurar los sistemas de IA no siempre es una prioridad, dejando estos sistemas vulnerables a posibles ciberataques. Además, las prácticas de seguridad tradicionales como los controles de acceso y las reglas de menor privilegio no son fácilmente aplicables a los sistemas de IA. Otro problema es que, con todo lo que ya tienen en marcha, los profesionales de seguridad luchan por encontrar suficiente tiempo para asegurar las cargas de trabajo de IA.
El Informe del Paisaje de Amenazas de Seguridad de Identidad 2024 de CyberArk revela que si bien el 68% de las organizaciones del Reino Unido informan que hasta la mitad de sus identidades de máquinas acceden a datos sensibles, solo el 35% incluyen a estas identidades en su definición de usuarios privilegiados y toman las medidas de seguridad de identidad necesarias. Esta omisión es arriesgada, ya que los sistemas de IA, cargados con datos de entrenamiento actualizados, se convierten en objetivos de alto valor para los atacantes. Las compromisos en IA podrían conducir a la exposición de propiedad intelectual, información financiera y otros datos sensibles.
La amenaza de ataques en la nube a los sistemas de IA
Las amenazas de seguridad a los sistemas de IA no son únicas, pero su alcance y escala podrían serlo. Actualizados constantemente con nuevos datos de entrenamiento desde dentro de una empresa, los LLMs se convierten rápidamente en objetivos principales para los atacantes una vez desplegados. Dado que deben utilizar datos reales y no datos de prueba para el entrenamiento, esta información actualizada puede revelar valiosos secretos corporativos sensibles, datos financieros y otros activos confidenciales. Los sistemas de IA confían inherentemente en los datos que reciben, lo que los hace particularmente susceptibles a ser engañados para divulgar información protegida.
En particular, los ataques en la nube a los sistemas de IA permiten el movimiento lateral y el jailbreaking, lo que permite a los atacantes explotar las vulnerabilidades de un sistema y engañarlo para difundir información errónea al público. Las compromisos de identidad y cuenta en la nube son comunes, con muchas brechas de alto perfil resultantes de credenciales robadas y causando un daño significativo a importantes marcas en los sectores tecnológico, bancario y de consumo.
La IA también se puede utilizar para realizar ciberataques más complejos. Por ejemplo, permite a actores maliciosos analizar cada permiso vinculado a un rol específico dentro de una empresa y evaluar si pueden usar este permiso para acceder fácilmente y moverse a través de la organización.
Entonces, ¿cuál es el siguiente paso sensato? Las empresas todavía están en el inicio de la integración de la IA y los LLMs, por lo que establecer prácticas de seguridad de identidad sólidas llevará tiempo. Sin embargo, los CISOs no pueden permitirse quedarse de brazos cruzados y esperar; deben desarrollar proactivamente estrategias para proteger las identidades de IA antes de que ocurra un ciberataque, o antes de que entre en vigor una nueva regulación que los obligue a hacerlo.
Los pasos clave para fortalecer la seguridad de la IA
Aunque no hay una solución de seguridad infalible para la IA, las empresas pueden implementar ciertas medidas para mitigar los riesgos. Más específicamente, hay algunas acciones clave que los CISOs pueden tomar para mejorar su postura de seguridad de identidad de IA a medida que la industria continúa evolucionando.
• Identificar superposiciones: Los CISOs deben priorizar la identificación de áreas donde se pueden aplicar las medidas de seguridad de identidad existentes a la IA. Por ejemplo, aprovechar controles existentes como la gestión de acceso y los principios de menor privilegio cuando sea posible puede ayudar a mejorar la seguridad.
• Salvaguardar el entorno: Es crucial que los CISOs entiendan el entorno donde opera la IA para protegerlo de manera eficiente. Si bien comprar una plataforma de seguridad de IA no es una necesidad, asegurar el entorno donde se está llevando a cabo la actividad de IA es vital.
• Construir una cultura de seguridad de IA: Es difícil fomentar que todos los empleados adopten las mejores prácticas de seguridad de identidad sin una mentalidad de seguridad de IA sólida. Involucrar a expertos en seguridad en proyectos de IA significa que pueden compartir sus conocimientos y experiencia con todos los empleados y asegurarse de que todos estén bien conscientes de los riesgos de usar la IA. También es importante considerar cómo se procesan los datos y cómo se está entrenando al LLM para alentar a los empleados a pensar en lo que implica el uso de tecnologías emergentes y ser aún más cuidadosos.
El uso de la IA en los negocios presenta grandes oportunidades y desafíos de seguridad sin precedentes. A medida que navegamos por este nuevo panorama, queda claro que las medidas de seguridad tradicionales son insuficientes para los riesgos únicos que plantean los sistemas de IA. El papel de los CISOs ya no se trata simplemente de gestionar amenazas de ciberseguridad convencionales; ahora implica reconocer la naturaleza distinta de las identidades de IA y asegurarlas en consecuencia. Por lo tanto, las empresas deben asegurarse de invertir tiempo y recursos en encontrar el equilibrio adecuado entre la innovación y la seguridad para mantenerse al día con las últimas tendencias mientras protegen sus activos más valiosos.
Hemos destacado el mejor teléfono de IA.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro donde presentamos las mentes más brillantes en la industria de la tecnología hoy en día. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro