La IA generativa ha abierto enormes oportunidades en el ámbito de la ciberseguridad, desde una gestión de vulnerabilidades más ágil hasta una respuesta más rápida ante incidentes. Pero la tecnología también ha abierto nuevas vías de ataque que aún deben abordarse.

Imagínese esto: un investigador de seguridad español encuentra una vulnerabilidad crítica en la aplicación móvil de una importante compañía aérea británica. Redacta un correo electrónico de advertencia, pero lo pasa por un chatbot de inteligencia artificial para corregir los errores del idioma antes de notificarlo a la empresa.

Ahora imaginemos que un atacante ha estado merodeando por la misma aplicación de IA en busca de información confidencial. Mediante mensajes cuidadosamente elaborados, este malhechor induce a la IA generativa a compartir los detalles técnicos del envío del investigador español antes de que la compañía aérea pueda parchearlo. Lo siguiente que se sabe es que hay una brecha de ciberseguridad.

Este giro de los acontecimientos no es descabellado: La Fundación OWASP ha publicado una lista de las 10 principales vulnerabilidades que afectan a los grandes modelos lingüísticos, y la divulgación de información sensible figura entre ellas. "Las aplicaciones LLM pueden revelar inadvertidamente información sensible, algoritmos patentados o datos confidenciales, dando lugar a accesos no autorizados, robos de propiedad intelectual y violaciones de la privacidad", afirma la OWASP, que añade que un posible escenario de ataque es el uso de "mensajes manipulados para eludir los filtros de entrada y revelar datos sensibles".

Seguridad e IA generativa

Pero la IA generativa está aquí para quedarse, a pesar de los riesgos. La tecnología de IA es crucial para mantener la competitividad en toda una serie de sectores. La seguridad no es una excepción.

Como muestra el ejemplo anterior, la IA generativa también puede ser un premio gordo para los malos. Lograr un equilibrio entre la adopción de la tecnología y la incorporación de salvaguardias será clave para evitar infracciones.

Las organizaciones que aprovechan la IA para mejorar sus capacidades deberían hacer una pausa y plantearse algunas preguntas importantes. ¿Cómo nos aseguramos de que la IA que utilizamos no nos hace vulnerables? ¿Cómo estamos reforzando la infraestructura de la IA y abordando los problemas de privacidad? ¿Cómo identificamos las tareas complejas o sensibles desde el punto de vista de la seguridad que son demasiado delicadas para asignarlas a la IA?

Como ocurre con la mayoría de las tecnologías, la formación del personal determinará nuestro éxito o fracaso. ¿Estamos formando a las personas para que sepan cuándo es aceptable utilizar un motor de IA público y cuándo deben utilizar un motor privado en función del contenido? ¿Estamos desarrollando "guiones de limpieza" y otros procesos para que los conceptos sensibles se eliminen de los envíos? ¿Estamos formando a nuestro personal en el uso de esos guiones y comprobando su precisión con ese y otros procesos?  ¿Se está formando a los directivos para que interroguen a sus equipos sobre el uso de la IA y sobre cómo apoyarlos y mantenerlos dentro de la política de seguridad?

Las respuestas podrían determinar si una organización puede capitalizar eficazmente el frenesí de la IA o si llega a los titulares como víctima de vulnerabilidades cibernéticas impulsadas exclusivamente por la IA.