fbpx

Hablemos de la seguridad de la IA!

Esto es todo lo que tiene que conocer con respecto a la seguridad de la IA.

Para nadie es un secreto que últimamente ha habido mucho entusiasmo por la Inteligencia Artificial pero, eso no significa que los robots estén aquí para reemplazarnos. Por tal motivo, a continuación presentaremos muchos datos interesantes para poder dejar las cosas claras con respecto a la seguridad de la IA

 

via GIPHY

 

Esto es todo lo que tiene que conocer con respecto a la seguridad de la IA

 

La Inteligencia Artificial está actualmente mucho menos avanzada de lo que anticipábamos. Los automóviles autónomos, por colocar un ejemplo, a menudo considerados el ejemplo del futuro ilimitado de la IA, representan un caso de uso limitado y todavía no son una aplicación común en todos los sectores del transporte.

 

autos autónomos
autos autónomos

 

Pero si hay algo sumamente importante que conocer es la seguridad de la IA y si la Inteligencia Artificial afecta su estrategia de ciberseguridad y cómo.

 

IA y ML en la naturaleza

 

Existen 3 modelos comunes de IA y ML los cuales son: la IA generativa, ML supervisado y ML no supervisado.

 

IA generativa

 

La IA generativa es un campo de vanguardia en Inteligencia Artificial, caracterizado por modelos, como los LLMs, que se entrenan para el procesamiento del lenguaje natural. Debe saber que la IA generativa es más adecuada para casos de uso como lluvia de ideas, edición asistida y así mismo, realización de investigaciones sobre un corpus confiable.

 

 

Los profesionales de la ciberseguridad, como los equipos de SOC y de fusión, pueden aprovechar la IA generativa para la investigación, a fin de ayudarlos a comprender las vulnerabilidades de día cero, así como las topologías de red o los nuevos indicadores de compromiso (IoC). Es importante reconocer que la IA generativa en ocasiones produce “alucinaciones”, es decir, respuestas incorrectas.

 

Según Etay Maor, director senior de estrategia de seguridad de Cato Networks, “La IA generativa también puede ayudar a los delincuentes. Por ejemplo, pueden usarla para escribir correos electrónicos de phishing. Antes de ChatGPT, una de las detecciones básicas de correos electrónicos de phishing eran errores ortográficos y gramaticales”.

 

En este sentido, Etay Maor ha señalado que esos eran indicadores de que algo era sospechoso. Actualmente, los delincuentes pueden escribir de forma muy fácil un correo electrónico de phishing en varios idiomas con una gramática perfecta.

 

Aprendizaje no supervisado

 

Hay que dejar sumamente claro que en el ámbito de la ciberseguridad, el aprendizaje no supervisado se puede utilizar para agrupar y para encontrar patrones que no eran evidentes antes; por ejemplo, puede encontrar asociaciones y vínculos entre conjuntos de datos. Otro caso de uso es la detección de anomalías, como detectar actividad que podría indicar que un atacante está usando credenciales robadas, entre otros aspectos.

 

Pero, lo cierto es que en ocasiones, el aprendizaje no supervisado no siempre es la elección correcta. Cuando obtener un resultado incorrecto tiene un impacto muy alto y consecuencias graves, cuando se necesitan tiempos de capacitación cortos o incluso, cuando se requiere total transparencia, se recomienda adoptar un enfoque diferente.

 

Aprendizaje supervisado

 

En ciberseguridad, el aprendizaje supervisado se utiliza para la clasificación, lo que puede ayudar a identificar el phishing y el malware. Incluso, se puede utilizar para regresión, como predecir el costo de un nuevo ataque basándose en los costos de incidentes pasados.

 

Pero, debe tener presente que el aprendizaje supervisado no es la mejor opción si no hay tiempo para entrenar o nadie para etiquetar o entrenar los datos. Tampoco se recomienda cuando es necesario analizar grandes cantidades de datos, cuando no hay suficientes datos o cuando el objetivo final es la clasificación/agrupación automatizada.

 

Aprendizaje por refuerzo (RL)

 

El aprendizaje por refuerzo ocupa un espacio entre el aprendizaje totalmente supervisado y el no supervisado y viene siendo un enfoque único para el ML. Representa volver a entrenar un modelo cuando el entrenamiento existente no logra anticipar ciertos casos de uso. Incluso el aprendizaje profundo, con su acceso a grandes conjuntos de datos, puede llegar a pasar por alto casos de uso atípicos que la RL puede abordar. Cabe acotar que la existencia misma de la RL es una admisión implícita de que los modelos pueden tener defectos.

 

 

Esto es lo que dicen sobre seguridad de la IA

 

Aunque no lo crea, la IA generativa es de interés para los ciberdelincuentes. Según  ha indicado Etay Maor, “los ciberdelincuentes han estado hablando sobre cómo utilizar ChatGPT, Bard y otras aplicaciones GenAI desde el día en que fueron introducidas, además de compartir sus experiencias y pensamientos sobre sus capacidades. Al parecer, creen que GenAI tiene limitaciones. Y posiblemente estará más maduro para su uso por parte de atacantes en unos años”.

 

El marco de gestión de riesgos de inteligencia artificial

 

Es importante señalar que el Marco de Gestión de Riesgos de Inteligencia Artificial (AI RMF) del NIST, es un conjunto de pautas y mejores prácticas diseñadas para poder ayudar a las organizaciones a identificar, así como también poder evaluar y gestionar los riesgos asociados con el despliegue y el uso de tecnologías de IA.

 

Debe conocer que el marco consta de 6 elementos los cuales son:

 

  • Válido y confiable: la IA puede suministrar información incorrecta (alucinaciones). Por lo cual, es importante que las empresas puedan validar que la Inteligencia Artificial que están adoptando sea precisa y confiable.
  • Otro elemento es “Seguro”: garantizar que la información solicitada no se comparta con otros usuarios, como en el infame caso de Samsung que se conoció hace un tiempo.
  • Seguro y resistente: las organizaciones deben garantizar que el sistema de IA esté protegido y a salvo de ataques y que pueda frustrar con éxito los intentos de explotarlo o utilizarlo para ayudar en los ataques.
  • Responsable y transparente: es importante poder explicar la cadena de suministro de la IA y también garantizar que haya una conversación abierta sobre cómo funciona.
  • Privacidad optimizada: logra garantizar que la información solicitada esté protegida y anónima en el lago de datos y cuando se utilice.
  • Feria: significa gestionar los prejuicios perjudiciales. Por ejemplo, a menudo hay sesgos en el reconocimiento facial de la IA, debido a que los hombres de piel clara se identifican con mayor precisión en comparación con las mujeres y los colores de piel más oscuros. Cuando se utiliza la IA para hacer cumplir la ley, por ejemplo, esto podría tener graves implicaciones. Cabe resaltar que este elemento viene siendo uno de los más importantes.

 

La IA puede llegar a empoderarnos y ayudarnos a desempeñarnos mejor, pero, no es una solución milagrosa. Por tal motivo, es importante que las empresas tomen decisiones fundamentadas sobre las herramientas con Inteligencia Artificial que elijan implementar internamente.

 

Leave a Reply

Your email address will not be published. Required fields are marked *