Es un desafío estar al tanto, ya que los proveedores pueden agregar nuevos servicios de IA en cualquier momento, dice Notch. Eso requiere ser obsesivo en estar al tanto de todos los contratos y cambios en las funcionalidades y los términos de servicio. Pero contar con un buen equipo de gestión de riesgos de terceros puede ayudar a mitigar estos riesgos. Si un proveedor existente decide agregar componentes de IA a su plataforma utilizando servicios de OpenAI, por ejemplo, eso agrega otro nivel de riesgo a una organización. “Eso no es diferente del riesgo de terceros que tenía antes, donde utilizaban alguna empresa de marketing o de análisis. Por lo tanto, necesito ampliar mi programa de gestión de riesgos de terceros para adaptarme a él, u optar por no participar hasta que comprenda el riesgo”, afirma Notch.
Uno de los aspectos positivos del Reglamento General de Protección de Datos (GDPR) de Europa es que los proveedores deben revelar cuándo utilizan subprocesadores. Si un proveedor desarrolla una nueva funcionalidad de IA internamente, un indicio puede ser un cambio en su política de privacidad. “Tienes que estar encima de esto. Tengo la suerte de trabajar en un lugar que apuesta por la seguridad y contamos con un excelente equipo de gobernanza, riesgo y cumplimiento que realiza este tipo de trabajo”, afirma Notch.
Evaluación de amenazas externas de IA
La IA generativa ya se utiliza para crear correos electrónicos de phishing y ataques de compromiso de correo electrónico empresarial (BEC), y el nivel de sofisticación de BEC ha aumentado significativamente, según Notch de Expel. “Si estás defendiéndote de BEC (y todo el mundo lo hace), las señales de que este no es un correo electrónico kosher se están volviendo mucho más difíciles de detectar, tanto para los humanos como para las máquinas. Puedes hacer que la IA genere una falsificación de correo electrónico y un sitio web perfectos”.
Poner un número específico a este riesgo es un desafío. «Esa es la cuestión canónica de la ciberseguridad: la cuantificación del riesgo en dólares», dice Notch. «Se trata del tamaño de la pérdida, de la probabilidad de que ocurra y de la frecuencia con la que ocurrirá». Pero hay otro enfoque. «Si lo pienso en términos de priorización y mitigación de riesgos, puedo dar respuestas con mayor fidelidad», afirma.
Pery afirma que ABBYY está trabajando con proveedores de ciberseguridad que se centran en amenazas basadas en GenAI. «Hay nuevos vectores de ataque con tecnología genAI de los que debemos ser conscientes».
Estos riesgos también son difíciles de cuantificar, pero están surgiendo nuevos marcos que pueden ayudar. Por ejemplo, en 2023, el experto en ciberseguridad Daniel Miessler publicó El mapa de superficie de ataque de la IA. «Un puñado de líderes de opinión y luminarias en IA están realizando un gran trabajo», dice Sasa Zdjelar, director de confianza de ReversingLabs, quien agrega que espera que organizaciones como CISA, NIST, Cloud Security Alliance, ENISA y otras formar grupos de trabajo y grupos especiales para abordar específicamente estas nuevas amenazas.
Mientras tanto, lo que las empresas pueden hacer ahora es evaluar qué tan bien se desempeñan en los aspectos básicos si aún no lo están haciendo. Incluyendo verificar que todos los puntos finales estén protegidos, si los usuarios tienen habilitada la autenticación multifactor, qué tan bien pueden los empleados detectar correos electrónicos de phishing, qué cantidad de parches pendientes hay y qué parte del entorno está cubierto por confianza cero. Este tipo de higiene básica es fácil de pasar por alto cuando surgen nuevas amenazas, pero muchas empresas aún no cumplen con los fundamentos. Cerrar estas brechas será más importante que nunca a medida que los atacantes intensifiquen sus actividades.
También hay algunas cosas que las empresas pueden hacer para evaluar las amenazas nuevas y emergentes. Según Sean Loveland, director de operaciones de Resecurity, existen modelos de amenazas que se pueden utilizar para evaluar los nuevos riesgos asociados con la IA, incluida la inteligencia de amenazas cibernéticas ofensivas y el monitoreo de amenazas específicas de la IA. «Esto le proporcionará información sobre sus nuevos métodos de ataque, detecciones, vulnerabilidades y cómo están monetizando sus actividades», afirma Loveland. Por ejemplo, dice, hay un producto llamado FraudGPT que se actualiza constantemente y se vende en la web oscura y Telegram. Para prepararse contra los atacantes que utilizan IA, Loveland sugiere que las empresas revisen y adapten sus protocolos de seguridad y actualicen sus planes de respuesta a incidentes.
Los piratas informáticos utilizan la IA para predecir mecanismos de defensa
Los piratas informáticos han descubierto cómo utilizar la IA para observar y predecir lo que hacen los defensores, dice Gregor Stewart, vicepresidente de inteligencia artificial de SentinelOne, y cómo adaptarse sobre la marcha. «Y estamos viendo una proliferación de malware adaptativo, malware polimórfico y propagación autónoma de malware», añade.
La IA generativa también puede aumentar el volumen de ataques. De acuerdo a un informe publicado por la firma de inteligencia de amenazas SlashNext, ha habido un aumento del 1265% en los correos electrónicos de phishing maliciosos entre finales de 2022 y el tercer trimestre de 2023. “Algunos de los usuarios más comunes de chatbots de modelos de lenguaje grande son ciberdelincuentes que aprovechan la herramienta para ayudar a redactar negocios ataques de compromiso de correo electrónico y lanzar sistemáticamente ataques de phishing altamente dirigidos”, dice el informe.
De acuerdo a un Encuesta de PwC De más de 4.700 directores ejecutivos publicados en enero, el 64% dice que es probable que la IA generativa aumente el riesgo de ciberseguridad para sus empresas durante los próximos 12 meses. Además, la IA genética se puede utilizar para crear noticias falsas. En enero, el Foro Económico Mundial publicó su Informe de Riesgos Globales 2024¿Y cuál es el mayor riesgo para los próximos dos años? Desinformación e información errónea impulsada por la IA. No sólo los políticos y los gobiernos son vulnerables. Un informe de noticias falso puede afectar fácilmente el precio de las acciones, y la IA generativa puede generar informes de noticias extremadamente convincentes a escala. En la encuesta de PwC, el 52% de los directores ejecutivos dijeron que la información errónea sobre GenAI afectará a sus empresas en los próximos 12 meses.
La gestión de riesgos de la IA tiene un largo camino por recorrer
De acuerdo a un encuesta De 300 profesionales de riesgo y cumplimiento realizado por Riskonnect, el 93% de las empresas anticipan amenazas significativas asociadas con la IA generativa, pero solo el 17% de las empresas han capacitado o informado a toda la empresa sobre los riesgos de la IA generativa, y solo el 9% dice que están preparados para gestionar estos riesgos. Un similar encuesta de ISACA de más de 2.300 profesionales que trabajan en auditoría, riesgos, seguridad, privacidad de datos y gobierno de TI, mostró que solo el 10% de las empresas contaba con una política integral de IA generativa, y más de una cuarta parte de los encuestados no tenía planes de desarrollar una.
Eso es un error. Las empresas deben centrarse en elaborar un plan holístico para evaluar el estado de la IA generativa en sus empresas, dice Paul Silverglate, líder del sector tecnológico de Deloitte en Estados Unidos. Deben demostrar que a la empresa le importa hacerlo bien, estar preparada para reaccionar rápidamente y remediar si sucede algo. «El tribunal de la opinión pública -el tribunal de sus clientes- es muy importante», dice. “Y la confianza es el santo grial. Cuando uno pierde la confianza, es muy difícil recuperarla. Podría terminar perdiendo participación de mercado y clientes que sería muy difícil recuperar”. Cada elemento de cada organización con la que ha trabajado se ve afectado por la IA generativa, añade. “Y no sólo de alguna manera, sino de manera significativa. Es omnipresente. Es omnipresente. Y algo más.»