Las empresas se preparan para un mejor uso y un mayor control del riesgo de la IA

La inteligencia artificial (IA) abre un mundo de oportunidades inimaginables hace poco tiempo. Su aterrizaje está siendo suave, pero se espera una aceleración de su crecimiento y desarrollo. Por ejemplo, el objetivo del gobierno español, es “aumentar el número de empresas que hacen uso de la IA pasando de menos de un 15% en 2021 a un 25% para 2025″, tal y como recoge el Plan de Recuperación, Transformación y Resiliencia.

Pero la adaptación de esta herramienta tecnológica implica también mayores amenazas y riesgos para las empresas. Cinco Días organizó un desayuno en colaboración con Deloitte para debatir con expertos la forma de abordar las nuevas vulnerabilidades de la IA, de hacer un buen uso, de los cambios en materia de ciberseguridad, y de cómo el nuevo marco regulatorio ha construido el camino para el despegue de la tecnología.

Manel Carpio, socio de ciberseguridad y responsable de riesgos en inteligencia artificial de Deloitte, inició el debate hablando sobre la principal novedad, que es la constitución de una normativa europea: “Tenemos un Reglamento que se va a publicar próximamente. Es la primera regulación en el mundo para proteger a los ciudadanos sobre el uso de sistemas de IA con una visión muy focalizada en el individuo para defender la seguridad, la salud y los derechos fundamentales de las personas”.

Carpio concretó que “uno de los requisitos técnicos que se pide para sistemas de IA de alto riesgo es el de ciberseguridad”, y detalló que el vinculo de entre ambas tiene tres grandes aristas: ”Los nuevos sistemas de IA van a venir acompañados por un montón de datos y hay que ver cómo se protegen; cómo un atacante puede aprovechar las capacidades de los sistemas para tener éxito, y el potencial de las organizaciones para utilizar la IA y defenderse mejor”.

Para Pablo Rodríguez, global head of cybersecurity governance de Naturgy, “las vulnerabilidades van a seguir siendo las mismas en gran parte, pero va haber mayor actividad por parte de los equipos de defensa para tener unas medidas más ceñidas a las necesidades del sector y de la empresa”. Sobre ese asunto contempla que “aparte de mantenerse en alerta y hacer un esfuerzo sobre las medidas y mejora continua en los procesos, uno de los principales focos va a ser la seguridad de la información personal y privilegiada; una modificación, un envenenamiento del modelo puede derivar, por ejemplo, en que un paciente que no reciba un tratamiento día a día… el impacto de esto es exagerado”.

Puntos críticos

Andreu Bravo, socio de ciberseguridad en tecnologías emergentes de Deloitte, describió los “dos puntos críticos en el ciclo de vida de los sistemas de IA”. “Uno es la infraestructura. Al fin y al cabo son nuevos sistemas, máquinas, que tienes que despegar de alguna manera con bases de datos con muchísima información donde además las capacidades más atractivas están relacionadas con el lenguaje de la comprensión; es decir, la simulación de la conducta de alguna manera humana. El otro, es que ha pasado antes por un proceso de entrenamiento donde se le ha dado acceso a muchísima información para generar ese aprendizaje, y si se ha hecho de forma incorrecta el resultado va a ser totalmente inesperado”.

Rodrigo Blanco CISO de Radisson Hotel Group, abordó algunos aspectos adicionales de peligro. “Una buena parte de los clientes o de las organizaciones va a subcontratar, externalizar la IA. Con lo cual, esos proveedores van a convertirse en un objetivo muy claro para los atacantes. Por otro lado, las empresas se componen de personas, y pueden tener la tentación de hacer un uso a título individual. Por tanto, los riesgos no se refieren solo a ti, sino a toda la cadena de suministro y los usuarios individuales, y tenemos que protegerles y acompañarles como tal”.

En cuanto a temas de uso, de aplicabilidad, Pablo Rodríguez opinó que “no solo va a beneficiar a procesos logísticos etc., sino que va a ser palanca para que se ponga el foco en lo que realmente es importante para nuestros negocios. En muchas ocasiones nos va a eficientar ese proceso”.

Por otro lado, Roberto Baratta, director prevención pérdida, continuidad de negocio y seguridad de Abanca, expuso algunas claves de la tecnología. “El ataque con IA es en este momento un auténtico misterio. En la defensa, los proveedores de herramienta de ciberseguridad lo que están haciendo es poner asistentes, aunque de momento no ha mejorado mucho porque los malos están con lo mismo. Todos los tipos de uso los rodea la privacidad, y a ésta la envuelven las personas. Cuando se usa una tecnología tan potente como ésta, la mayor amenaza somos las personas”.

En este sentido, Andreu Bravo, confirmó que “las principales amenazas a día de hoy basadas en IA están orientadas a la falsificación (voces, imágenes, textos, email...) con un comportamiento y una sintaxis y una expresión tan natural que es dificilísimo detectar. Ya se están desarrollando soluciones para proteger, pero el punto uno es nuestra concienciación del uso de esas herramientas. El siguiente paso es cambiar la manera de funcionar de todas las empresas que manejan información, y hablaría incluso de las redes sociales que permitan cortar a tiempo los ataques; por ejemplo, filtrando cualquier vídeo para analizar si es falso o no”.

Tratar las soluciones

Para Javier Zapata, CISO corporativo de QuirónSalud, las soluciones que tienen las compañías “no son nuevas, ya llevan tiempo, como el análisis predictivo, la monitorización de seguridad en la red, la parte de usuarios, herramientas de análisis de amenazas… Se está utilizando el control de activos conectados en red y creo que es una parte donde se va a avanzar más; es super importante. La IA permite identificar no solo lo que está conectado, sino el modelo, el tipo... información adicional en base al comportamiento de lo que tienes conectado a la red”.

Otro de los cambios que espera Rodrigo Blanco está enfocado en SOAR; siglas que responden a la organización, la automatización y la respuesta de seguridad, tres funciones de los equipos de ciberseguridad para defender o atajar los posibles ataques. “Lo veo como una tendencia y creo que SOAR se va a convertir en IA, siempre va a ser mejor. A poco tardar, todos los proveedores que ofrecen SOAR al mercado lo van a hacer con IA y va a ser mucho más efectivo porque los modelos van a estar mucho más armados”.

La IA no es nueva en la ciberseguridad. Así lo aclaró Roberto Baratta, que dijo que “el problema ahora es distinguir el polvo de la paja. Una de las cosas de las que nos estamos dando cuenta es que la cuestión de cómo nos defendemos utilizando inteligencia artificial”.

Los expertos también dedicaron un tiempo a charlar sobre ética. “El otro gran componente de riesgo es el ético, de lo que tu le dejas a la IA actuar por sí misma y lo que necesita una supervisión humana. Esto no tiene que ver con protección de datos, sino con la ética”, destacó Javier Zapata.

Por su parte, Manel Carpio añadió que “la regulación considera el nivel de riesgo en función de la seguridad, la salud y los derechos fundamentales, que tienen que ver con el acceso al crédito, a una vivienda digna, a la educación, a la sanidad y también a la privacidad de los datos. Una de las novedades que se piden en la normativa europea es el análisis de impacto de esos derechos fundamentales”.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días