Entrevista exclusiva con Claudio Martinelli, director general para Américas de Kaspersky.
¿Se ha incrementado el uso de herramientas IA Generativa en las empresas?
Cada vez es mayor el número de personas que utilizan la IA generativa como una herramienta para realizar ciertas actividades de manera más rápida y eficiente, pero eso puede terminar en una fuga masiva de información confidencial, accesible incluso para el crimen.
¿A qué se refiere?
Cada día vemos con mayor frecuencia que empleados y colaboradores cercanos a una empresa, suben a plataformas de IA Generativa datos internos, informes sensibles o documentos oficiales para acelerar su trabajo. Este hábito abre la puerta a filtraciones de información confidencial exponiendo a las instituciones frente al cibercrimen. Creemos que el uso de estas plataformas puede incluso derivar en una fuga masiva de información confidencial.
¿Las empresas son conscientes de los riesgos?
Existe un término: “Shadow IT”, todo que puede estar instalado en los dispositivos corporativos y que no son del conocimiento del área de tecnología. Durante la pandemia, esto paso con plataformas como: Google Meets, Zoom, Teams, etc. que los colaboradores buscaban para continuar sus tareas remotas, y en muchos casos, estas herramientas no eran aprobadas por la corporación. Hoy pasa lo mismo con las plataformas de IA Generativa, aun cuando una plataforma oficial sea elegida y tenga controles y credenciales, es fundamental la capacitación para que dichos colaboradores no usen las apps que están al alcance de cualquier smartphone. Los equipos de seguridad no solo tienen la presión de resguardar las redes corporativas ante los 467,000 objetos maliciosos que se detectan diariamente, sino también, enfrentan una realidad asociada al uso de sistemas de IA por parte de los empleados, quienes para ahorrar tiempo en sus tareas diarias, alimentan estas plataformas con reportes confidenciales, bases de datos o documentos y al hacerlo, comparten información a plataformas públicas que no garantizan ni la protección ni la privacidad de los datos
Y cuál sería la solución ¿Prohibir el uso de esas herramientas?
Definitivamente no, la evolución es inexorable. La clave está en entrenar a los empleados para que sepan cómo usar la IA. No se trata de delegar todo a una herramienta, sino de entender los riesgos y cuidar la confidencialidad. Es decir, usar la inteligencia artificial con inteligencia humana.
¿La IA no garantiza la confidencialidad de la información que se le comparte?
Recientemente se ha detectado que los sistemas de IA Generativa pueden indexar las conversaciones que han tenido con los usuarios en algunos buscadores web, dejando expuestos los chats de algunas personas en temas íntimos como su vida privada o su salud mental, lo que abre la posibilidad a que también se registren y expongan, las consultas que los empleados hacen a estas plataformas con información sensible de una empresa.
¿Y el cibercrimen aprovecha esas brechas?
Efectivamente. Todo esto se da en un contexto donde los cibercriminales utilizan la Inteligencia Artificial para perfeccionar y automatizar ataques masivos. Un gran ejemplo de esto es el crecimiento de las llamadas “granjas de phishing”: se trata de diversos celulares conectados y controlados que envían smishing (mensajes falsos por SMS) en masa mediante una tecnología conocida como RPA (Robotic Process Automation). Herramientas originalmente desarrolladas para optimizar procesos corporativos están siendo explotadas para automatizar el envío masivo y personalizado de mensajes fraudulentos, lo que permite que estafadores alcancen a miles de víctimas en pocos minutos, con un alto grado de sofisticación y dificultad de rastreo.
Esta nueva táctica de automatización se suma a otras tendencias ya observadas, como el uso de audios y videos convincentes manipulados por IA (deepvoice y deepfake) para crear trampas, principalmente en redes sociales, induciendo a la víctima a creer en falsas oportunidades de ganancias financieras.
¿Qué pueden hacer las organizaciones para proteger la fuga de datos?
Para garantizar seguridad en el uso de los sistemas de Inteligencia Artificial, Kaspersky recomienda en primer lugar capacitar a los empleados en ciberseguridad. Es fundamental que todos los colaboradores tengan formación continua en seguridad digital. Existen herramientas diseñadas para desarrollar las habilidades de los colaboradores de todos los niveles.
Al mismo tiempo, implementar las siguientes acciones:
- Diseñar un modelado de amenazas y evaluación de riesgos: Antes de implementar soluciones de IA, se recomienda identificar los posibles escenarios de ataque y medir su impacto para anticipar incidentes. Kaspersky Threat Intelligence ofrece información actualizada sobre amenazas emergentes.
- Contar con seguridad de la infraestructura y la nube: las configuraciones seguras y el monitoreo constante evita que vulnerabilidades técnicas sean aprovechadas por actores maliciosos.
- Segmentar los datos evitando que uno pueda acceder a toda la red, mitigando el alcance de una filtración de datos.
- Asegurar la cadena de suministro: Las empresas deben asegurarse de que sus proveedores cumplan con altos estándares de ciberseguridad, un eslabón débil en la cadena puede poner en riesgo información sensible y afectar la continuidad del negocio.
- Realizar pruebas y validación de los sistemas: Todo modelo o aplicación de IA debe someterse a evaluaciones periódicas que verifiquen su funcionamiento y confiabilidad.
- Llevar a cabo reportes de vulnerabilidades periódicos: Contar con mecanismos transparentes para la notificación y gestión de fallas para corregirlas rápidamente.
- Tener una defensa contra ataques específicos a modelos de aprendizaje automático: Implementar medidas de protección especializadas es esencial para garantizar la integridad de estos modelos.
- Asegurar actualizaciones: Mantener el software y la infraestructura actualizada con parches de seguridad es una práctica básica pero crucial para evitar incidentes.
- Cumplir con estándares internacionales: Adoptar marcos normativos globales de ciberseguridad y protección de datos no solo garantiza legalidad, sino que también brinda confianza a clientes, socios e inversionistas.
Fuente: Entrevista exclusiva para Todo en un Click.
