La rápida utilidad de la IA generativa en el campo de la ciberseguridad significa que los gobiernos deben tomar medidas para regular la tecnología a medida que su uso por parte de actores maliciosos se vuelve cada vez más común, según un informe publicado esta semana por el Instituto Aspen. El informe calificó la IA generativa como una “maravilla tecnológica”, pero que está llegando al público en general en un momento en que los ciberataques están aumentando marcadamente, tanto en frecuencia como en gravedad. Corresponde a los reguladores y a los grupos industriales, dijeron los autores, garantizar que los beneficios de la IA generativa no terminen siendo superados por su potencial de uso indebido.
«Las acciones que los gobiernos, empresas y organizaciones tomen hoy sentarán las bases que determinarán quién se beneficia más de esta capacidad emergente: los atacantes o los defensores», dice el informe.
La respuesta global a la seguridad de la IA generativa varía
El enfoque regulatorio adoptado por grandes naciones como Estados Unidos, el Reino Unido y Japón ha sido diferente, al igual que los adoptados por las Naciones Unidas y la Unión Europea. La atención de la ONU se ha centrado en la seguridad, la rendición de cuentas y la transparencia, según el Instituto Aspen, a través de varios subgrupos como la UNESCO, un Grupo de Trabajo Interinstitucional sobre IA y un órgano asesor de alto nivel dependiente del Secretario General. La Unión Europea ha sido particularmente agresiva en sus esfuerzos por proteger la privacidad y abordar las amenazas a la seguridad que plantea la IA generativa, y la Ley de IA (acordada en diciembre de 2023) contiene numerosas disposiciones sobre transparencia, protección de datos y reglas para los datos de entrenamiento de modelos.
La inacción legislativa en Estados Unidos no ha impedido que la Administración Biden emita una orden ejecutiva sobre IA, que proporciona “orientación y puntos de referencia para evaluar las capacidades de la IA”, con especial énfasis en la funcionalidad de la IA que podría causar daño. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también emitió una guía no vinculante, junto con los reguladores del Reino Unido, dijeron los autores.
Japón, por el contrario, es un ejemplo de un enfoque más indiferente a la regulación de la IA desde una perspectiva de ciberseguridad, centrándose más en los canales de divulgación y los circuitos de retroalimentación de los desarrolladores que en reglas estrictas o evaluaciones de riesgos, dijo el Instituto Aspen.
Se acaba el tiempo para que los gobiernos actúen sobre la regulación de la IA generativa
El tiempo, señala también el informe, es esencial. Las violaciones de seguridad por parte de la IA generativa crean un efecto erosivo en la confianza del público, y esa IA adquiere nuevas capacidades que podrían usarse para fines nefastos prácticamente día a día. «A medida que esa confianza se erosione, perderemos la oportunidad de tener conversaciones proactivas sobre los usos permisibles de genAI en la detección de amenazas y examinar los dilemas éticos que rodean las ciberdefensas autónomas a medida que el mercado avanza», dice el informe.