Los aspectos de la ciberseguridad en la Inteligencia Artificial

Ciertamente el fenómeno de la Inteligencia Artificial ha entrado en nuestras vidas de forma tan vertiginosa, que apenas nos ha dado tiempo a asimilar esta nueva tecnología. Su irrupción ha dejado poco margen de introspección sobre la ética en su utilización, preguntarnos acerca de la transparencia de las empresas que la comercializan o analizar si realmente es tan necesaria como nos quieren hacer creer. Como profesional de cumplimiento normativo y riesgos en seguridad de la información, me gustaría compartir los diferentes usos que se destilan de la Inteligencia Artificial -en adelante IA- en estos campos, así como su lado oscuro y, en especial, qué estamos dejando de analizar con las prisas por implantarla y no subirse al carro del mainstream tecnológico.

Ciertamente la IA cuenta con muchos usos en la ciberseguridad, algunos de ellos más longevos de lo que pensamos, por ejemplo, en el campo de los antivirus o el análisis de eventos de seguridad. Los campos donde sacamos mayor provecho de la IA son diversos, y créanme que no todos son tan técnicos como pensamos. Las herramientas de ciberseguridad han experimentado un enorme cambio al incorporar la IA en sus motores de procesamiento de la información de amenazas, riesgos o incidentes de ciberseguridad. Nos permite utilizar información de diversas fuentes –lo que llamamos inteligencia de amenazas- para prever, detectar y responder a las amenazas con gran rapidez y eficacia. ¿Qué es vital en este punto? La calidad de la información a la que acudimos.

Las aplicaciones de la IA en la seguridad en la nube, también supone un vector importante. Más que nunca tenemos nuestros sistemas de información en la nube -Microsoft 365, Google, Apple, etc.- lo que permite, mediante el uso de modelos predictivos o de aprendizaje automático, analizar y prever comportamientos de usuarios para detectar acciones sospechosas.

Por otro lado, los indicadores de cumplimiento de seguridad en las empresas, analizados y procesados por la IA, también suponen una información increíble para el negocio, de forma que permitan tomarse decisiones estratégicas de seguridad más acertadas y con mayor previsión. Esta información proviene de los datos de clientes, auditorías, incidencias internas o cualquier otro dato relevante para la IA.

¿Qué elemento tenemos en común en todos los usos que hemos comentado? Ya lo habrán adivinado: el dato. La dependencia del dato es total para poder alimentar los procesos de IA y obtener los resultados esperados en cada área de actuación. Por lo tanto, ya tenemos uno de los mayores peligros en la utilización de la IA; si el origen del dato no está contrastado o resulta de mala calidad, irremediablemente los resultados de nuestra IA no serán del todo fiables. Ello ya es de por sí un gran riesgo si conlleva la toma de decisiones, por ejemplo, en la contratación de personal, elaboración de estrategias de venta e incluso la comunicación con nuestros clientes. Me he planteado muchas veces si las empresas que utilizan un Chatbox para hablar con los clientes, realmente analizan cómo se produce el diálogo y si el cliente queda satisfecho con el mero hecho de hablar con alguien no humano.

Hemos visto usos de la IA en el campo de la seguridad de la información, y su enorme dependencia del dato. Ahora expondremos qué elementos existen para asegurar estos usos desde diferentes perspectivas. Lo primero es analizar qué normativas regulan la IA o es considerada en su ámbito de aplicación; el RGPD o la nueva normativa que regula la IA en Europa requiere analizar dónde utilizamos la tecnología, qué usos hacemos de los datos personales, a quién los transferimos y si somos realmente transparentes con los afectados. Hasta hace muy poco no se han realizado estudios sobre el uso de la información que volcamos en el motor de IA, pero muchas empresas han confiado en este producto sin valorar la seguridad del motor o la empresa que nos ofrece la tecnología. Es más, ChatGPT ya ha comunicado una brecha de seguridad en marzo de este año, por la cual se han expuesto datos de los usuarios y los prompts (instrucciones) enviados por ellos.

Por otro lado, como paso previo a su implantación, se recomienda analizar los diversos riesgos sobre las personas o nuestros procesos de negocio, ver qué impactos tendría y qué consecuencias de su mal uso. La acogida de nuevas tecnologías en las organizaciones no siempre es sinónimo de avances o mejoras, si no se mide bien el impacto en el funcionamiento de la organización. Evidentemente la IA es todo un reto si automatizamos ciertos procesos de negocio -como el contacto con clientes que hemos citado- e incluso confiamos plenamente en sus resultados.

La formación también es un elemento indispensable para el buen uso de la tecnología; debemos enseñar a los empleados a utilizar correctamente la IA, cómo hacer las peticiones de forma más eficiente o los límites en el uso de datos e información de la empresa. La creación de políticas sobre el uso de la IA es un factor determinante antes de la formación y crea un marco de uso controlado.

Por último, es interesante confiar en auditorías de seguridad realizadas por empresas especializadas, para valorar las vulnerabilidades en nuestro funcionamiento con la IA, en la propia tecnología y los sistemas que utilizan sus motores. Esta visión más técnica nos proporciona igualmente un auténtico termómetro de cómo se encuentran nuestras defensas ante ciberataques.

En definitiva, desde la perspectiva de la seguridad de la información y ciberseguridad, la IA es una magnífica tecnología para combatir los ciberataques y las brechas de seguridad. Los elementos que hemos compartido creemos que son de gran ayuda para implementar correctamente la IA en nuestras empresas. Ahora bien, también apostaría por un modelo híbrido en el cual el binomio humano/IA es el caballo ganador. Entendemos que el ser humano dispone de la intuición, cultura y alma indispensable para ver aspectos en la seguridad que ninguna máquina, ahora mismo, es capaz de prever. Y no olvidemos que siempre deberán comprobarse los trabajos de la IA desde una perspectiva también humana, de esta forma evitaremos problemas por delegar al cien por cien en la máquina.