DeepSeek, startup china de inteligencia artificial (IA), ha irrumpido con fuerza en los mercados ganando adeptos rápidamente, con más de 10 millones de descargas en la app de Google Play desde su lanzamiento al público el 20 de enero. Su aparición plantea, no obstante, complejas cuestiones de ciberseguridad relacionadas con la privacidad de los datos, la ética, la seguridad nacional y la fuga de datos. Estas cuestiones deberán abordarse a medida que la tecnología de IA siga avanzando y se generalice su uso.
Empresas y gobiernos están lidiando con políticas y normativas para garantizar que la IA generativa y los grandes modelos de lenguaje puedan utilizarse de forma segura. Mientras tanto, se prevé que los equipos de seguridad establezcan sus propios límites y, como es comprensible, las organizaciones muestran su preocupación. La IA generativa es una de las inquietudes de más rápido crecimiento: en España, el 62% de los CISOs considera este tipo de herramientas como el principal riesgo tecnológico de su organización.
La creciente interacción entre empleados y la IA generativa, los grandes modelos de lenguaje y otras aplicaciones avanzadas requiere una respuesta de ciberseguridad flexible, centrada en las personas y altamente personalizada. Lamentablemente, la mayoría de los usuarios que busca aumentar la productividad con estas herramientas deja de lado los riesgos empresariales y cibernéticos, lo que exige a las organizaciones adoptar soluciones de prevención de pérdida de datos que puedan protegerlas de usuarios descuidados, maliciosos y comprometidos en todos los canales de comunicación (correo electrónico, endpoint y cloud).
Pero ¿cuáles son los riesgos en el lugar de trabajo?
Protección de datos
Herramientas como ChatGPT o DeepSeek precisan la introducción de datos por parte del usuario, ya sea una pregunta o una sugerencia que se procesa como datos brutos. El modelo de lenguaje los analiza mediante técnicas como el procesamiento del lenguaje natural y el análisis semántico antes de ofrecer un resultado adecuado. Al introducir texto en la caja habilitada para ello de estas plataformas, que permiten entradas de bastante extensión, el potencial de pérdida de datos, uso indebido y exposición es enorme. Simplemente copiando un correo electrónico redactado para un destinatario interno o externo a la empresa y, antes de enviarlo, tratar de mejorar la estructura, la gramática e incluso el tono. En el caso de que ese email contenga información confidencial, como datos personales o financieros de la empresa, la exposición y el riesgo son mayores. Asimismo, muchos estudiantes utilizan estos métodos y herramientas a diario, por lo que la futura mano de obra podría acelerar estos riesgos tanto en el sector público como en el privado. Los sistemas de IA pueden exponer involuntariamente esa información sensible de muchas maneras, desde un ajuste excesivo o un saneamiento inadecuado de datos hasta una integración no autorizada en dispositivos personales.
Gobernanza y regulación
En la actualidad, muchas organizaciones desconocen quién utiliza las tecnologías de IA generativa y en qué medida, lo que hace imposible supervisar la entrada de datos o establecer políticas relativas a su aplicación. Además de aumentar el riesgo de pérdida de datos, las organizaciones a veces ignoran si cumplen la normativa sobre IA y las leyes de protección de datos de las jurisdicciones pertinentes. Y la entrada de datos no es el único motivo de preocupación: los resultados de la IA generativa son igual de delicados. Con empleados haciendo uso de estas herramientas para generar código o crear contenido, será increíblemente difícil garantizar que cualquier resultado esté libre de plagio, vulnerabilidades e inexactitudes. Esto deja a las organizaciones potencialmente expuestas a brechas de seguridad y problemas con patentes y propiedad intelectual registrada.
Vectores de amenaza
Por desgracia, el enorme potencial de la IA para aumentar la eficacia no es de uso exclusivo de empleados bienintencionados. Los grandes modelos de lenguaje y los de procesamiento del lenguaje natural permiten también a los ciberdelincuentes entrenar sus ataques en vastos conjuntos de datos, como redes sociales y registros de chats, para una hiperpersonalización y señuelos todavía más convincentes. Estas herramientas ayudan además a los atacantes a evitar errores comunes de traducción, ortografía o gramática. El hecho de que muchas plataformas sean de libre acceso elimina las barreras tradicionales, como el capital o el nivel de conocimientos, abriendo la posibilidad de lanzar un ciberataque sofisticado a cualquier persona tan solo con nociones informáticas básicas e intenciones maliciosas.
Un problema de personas necesita una solución de personas
Como la mayoría de los avances tecnológicos significativos, la IA es un arma de doble filo. Al igual que aporta nuevos riesgos y ayuda a los ciberdelincuentes en sus campañas maliciosas, también mejora nuestra capacidad para reforzar defensas y frustrar ataques.
Pese a que las nuevas tecnologías pueden alterar el panorama de la pérdida de datos, la gente sigue siendo un elemento esencial, empezando por quién, qué y cómo. Cuanto mejor se entienda qué usuarios interactúan con la IA, sus motivos para hacerlo y la forma en que utilizan esta tecnología, más fácil resultará mitigar sus riesgos potenciales. Sin contexto, no se puede determinar la intención y crear pruebas en torno a los incidentes y los usuarios infractores. Siempre que haya que enfrentarse a un intruso malintencionado, se debe disponer de pruebas irrefutables sobre qué estaba haciendo exactamente.
Las organizaciones deben adoptar un enfoque multicapa que combine inteligencia sobre amenazas, IA conductual, ingeniería de detección e IA semántica para bloquear, detectar y responder a las amenazas más avanzadas y a los incidentes de pérdida de datos. Este enfoque holístico centrado en el ser humano alerta sobre comportamientos que no suelen detectarse con los sistemas tradicionales centrados únicamente en el contenido, lo que se traduce en una mayor eficacia, eficiencia operativa y un número de falsos positivos muy inferior o nulo.
Por último, aunque las herramientas son importantes, significan poco sin la concienciación del usuario y el cambio de comportamiento. Es vital que esta formación aborde los riesgos de la IA en políticas de prevención de pérdida de datos, establezca parámetros claros para su uso, sea continua y se oriente a las vulnerabilidades, las funciones y las competencias de los empleados. Al fin y al cabo, ni los riesgos tecnológicamente más avanzados del mundo son rivales para el personal experto en ciberseguridad.