Inteligencia Artificial: riesgos de ciberseguridad para una organización

República Dominicana.- La Inteligencia Artificial (IA) ha cobrado gran auge en años recientes, especialmente con la llegada de aplicaciones como ChatGPT y Gemini, ambas fácilmente accesibles; lo cual ha agilizado su implementación en múltiples ámbitos laborales, por facilitar tareas y automatizar procesos.

El uso de esta tecnología no solo conlleva beneficios, también existen riesgos en la seguridad de información, tanto personal, como organizacional. «La tecnología nos brinda una ventana al mundo, pero también puede abrir puertas a la vulnerabilidad de nuestra información personal y organizacional», comentó José Amado, gerente de la Práctica de Identidades Digitales de SISAP.

Amado informó que uno de los mayores riesgos al utilizar aplicaciones de Inteligencia Artificial, es la incertidumbre respecto al manejo de datos privados por la misma. “ChatGPT, por ejemplo, es un programa que necesita de gran cantidad de información para entrenarse, la cual nosotros le proporcionamos cada vez que lo utilizamos, datos que son almacenados en una nube fuera de nuestro alcance”, explicó.

“Pensemos que un colaborador en la oficina debe realizar un resumen de un reporte ejecutivo, y para ahorrarse trabajo, copia este en ChatGPT y le pide que lo haga por él. Esto le daría acceso completo al reporte, información de la empresa, entre otros datos, que ahora están almacenados en la nube y que no sabemos quién puede tener acceso” señaló Amado.

Estas preocupaciones de privacidad deben de estar presentes en la organización al momento de considerar la implementación de Inteligencia Artificial. Una vez se comparten los datos con estas aplicaciones, no pueden eliminarse o regresar, por lo que resulta importante capacitar a los colaboradores sobre estas tecnologías y sus usos, y así evitar que compartan información sensible o confidencial con ellas.

Aplicaciones creadas por Inteligencia Artificial y su vulnerabilidad

A través de la Inteligencia Artificial ha sido posible realizar tareas de programación, como escribir el código fuente para nuevas aplicaciones y páginas webs; esto sin duda facilita la labor de los programadores y/o personas con poca experiencia en el tema. El código de más del 65% de las aplicaciones se está escribiendo con Inteligencia Artificial.

Para el experto, el problema es que generalmente la Inteligencia Artificial generará un código similar o idéntico para varios usuarios, por lo que es posible que varias organizaciones manejen prácticamente el mismo software o aplicación. “Si todos comparten el mismo código generado por IA, también compartirán las mismas vulnerabilidades, facilitando el acceso a cualquier cibercriminal”, indicó Amado.

La tendencia demuestra que este riesgo seguirá en aumento, especialmente por el dinamismo y la velocidad con la que se busca crear nuevas aplicaciones y sistemas; por lo que Amado recomienda a las organizaciones no utilizar la Inteligencia Artificial (IA) para generar los códigos que necesiten, en cambio recurrir a métodos tradicionales, los cuales pueden ser más lentos, pero a la larga brindarán mayor seguridad.

El lado oscuro de las aplicaciones de Inteligencia Artificial

Mientras que ChatGPT y Gemini buscan apoyar y facilitar las tareas diarias de las personas, existen aplicaciones similares con fines maliciosos, las cuales buscan ayudar a los cibercriminales a mejorar sus métodos de ataque y pasar desapercibidos.

“Algunos ejemplos de GPTs maliciosos son WormGPT, FraudGPT y PoisonGPT, los cuales pueden realizar tareas desde escribir correos creíbles de phishing, hasta escribir el código de un programa maligno para extraer información”, alertó Amado.

El experto recalca la importancia de conocer acerca de este tipo de aplicaciones, ya que con su ayuda el riesgo de que las organizaciones puedan sufrir ataques cibernéticos y ser víctimas de Ransomware, aumentan.

Si en su organización se hace el uso de Inteligencia Artificial para la programación de aplicaciones o web sites, o bien, los colaboradores hacen uso de aplicaciones como Chat GPT, Amado recomienda que se acerquen a una empresa de soluciones en ciberseguridad, como lo es SISAP, quienes puedan realizar un análisis de sus vulnerabilidades y aumentar sus defensas contra ciberataques.

Acerca de SISAP

SISAP, Sistemas Aplicativos S.A. es una empresa fundada en la ciudad de Guatemala en 1985, líder en el mercado de la Tecnología y la Seguridad de la Información en 10 países de la región. Tiene un amplio portafolio de servicios y soluciones enfocadas en el área de seguridad de la información, con más de 1000 certificaciones que acrediten el servicio que brindan a sus clientes.

Con una experiencia de más de 39 años, son los líderes en proveer soluciones y servicios de seguridad a clientes en Latinoamérica, a través de una planilla de más de 400 empleados (60% son ingenieros), laboratorios forenses, una academia de ciberseguridad, más de 100 marcas aliadas, y distintas oficinas regionales, ubicadas en Guatemala, El Salvador, Honduras, Nicaragua, Costa Rica, Panamá, República Dominicana, Colombia, México y Estados Unidos.
La inteligencia artificial (IA) ofrece innumerables beneficios para las organizaciones, pero también introduce nuevos riesgos de ciberseguridad que deben ser gestionados adecuadamente. A continuación, se detallan algunos de los principales riesgos de ciberseguridad asociados con la IA en una organización:

Ataques Adversariales: Los modelos de IA, especialmente aquellos basados en aprendizaje automático, pueden ser vulnerables a ataques adversariales. Estos ataques implican la manipulación deliberada de datos de entrada para engañar a los modelos de IA y hacer que tomen decisiones incorrectas o perjudiciales.

Exposición de Datos Sensibles: La IA a menudo requiere grandes volúmenes de datos para entrenar modelos. Si estos datos no se gestionan de manera segura, pueden ser vulnerables a filtraciones o accesos no autorizados, exponiendo información confidencial o sensible.

Ingeniería Inversa: Los modelos de IA pueden ser objeto de ingeniería inversa por atacantes que buscan comprender su funcionamiento interno. Esto puede llevar a la extracción de secretos comerciales o la identificación de vulnerabilidades que pueden ser explotadas.

Sesgos en los Modelos: La IA puede incorporar sesgos en función de los datos con los que se entrenó. Estos sesgos pueden ser explotados por ciberatacantes para manipular decisiones automatizadas, lo que podría causar daños a la reputación o problemas legales para la organización.

Ataques de Envenenamiento de Datos: En este tipo de ataque, los datos de entrenamiento de un modelo de IA son manipulados de manera maliciosa para introducir comportamientos erróneos en el modelo. Esto puede llevar a la toma de decisiones incorrectas y potencialmente dañinas para la organización.

IA como Vector de Ataque: Los atacantes pueden utilizar IA para automatizar y mejorar la efectividad de sus ataques. Por ejemplo, pueden usar IA para desarrollar malware más sofisticado, diseñar campañas de phishing más convincentes o identificar vulnerabilidades en los sistemas de una organización con mayor rapidez.

Confianza Excesiva en la IA: Una dependencia excesiva de la IA puede hacer que las organizaciones se vuelvan complacientes en sus medidas de ciberseguridad, confiando ciegamente en los sistemas automatizados sin una supervisión adecuada. Esto puede llevar a la ignorancia de señales de advertencia o la falta de respuestas rápidas ante incidentes de ciberseguridad.

Compromiso de la Cadena de Suministro de IA: Si los sistemas de IA dependen de componentes o servicios de terceros, como plataformas de cloud computing o bibliotecas de código abierto, la seguridad de la IA también depende de la seguridad de esos proveedores. Un compromiso en la cadena de suministro puede afectar gravemente la integridad de los sistemas de IA de una organización.

Para mitigar estos riesgos, las organizaciones deben adoptar una estrategia de ciberseguridad integral que incluya la evaluación continua de los sistemas de IA, el uso de datos de alta calidad, la implementación de medidas de protección contra ataques adversariales y la capacitación del personal en el uso seguro de la IA.