La inteligencia artificial generativa está cambiando las reglas del juego en cómo las empresas manejan sus datos, automatizan flujos de trabajo y optimizan sus operaciones. Pero aquí va la advertencia: esta revolución también está abriendo nuevas puertas para los cibercriminales. Y no son precisamente de bienvenida.
Estas grietas en las políticas de seguridad son poco visibles, pero a medida que los modelos de IA comienzan a tomar un lugar central en las operaciones de las empresas y organizaciones, estas grietas pueden provocar un colapso en sistemas informáticos enteros.
IA, mucho más que generar imágenes y videos
La ola de Inteligencia Artificial es una en la que todos quieren surfear; cada día es más común conocer los casos de uso que implementan organizaciones y empresas de todo tamaño e industria con el fin de aprovechar esta poderosa tecnología.
Pero no todos los despliegues de IA son desarrollos internos propios, y en muchos casos las implementaciones no están reguladas o en el peor de los casos, se utiliza IA sin ser una política autorizada y esto genera grandes riesgos para las organizaciones que buscan estar a la vanguardia.
"Los principales riesgos que corren las organizaciones que están implementando IA incluyen la fuga de información sensible, ya que herramientas de IA no autorizadas pueden almacenar datos corporativos en servidores externos sin los debidos controles de privacidad. Imagina, que el departamento de Recursos Humanos comienza a utilizar herramientas públicas de IA para optimizar las altas y bajas de los empleados o el sistema de incentivos o de bonos; al ser pública la plataforma que usan, estos datos quedan expuestos, ya que pueden ser consultados de forma pública y cualquier persona, dentro o fuera de la organización puede conocer por ejemplo, cuánto gana el Director General, lo cual es un dato privado que, en el ánimo de mejorar procesos, queda expuesto".
Compliance, el otro gran riesgo
Pero las implementaciones de IA no solamente pueden causar daño a las organizaciones por la exposición indirecta o inadvertida de datos sensibles o de información de negocio crítica, el resguardo de datos privados puede ser también un tema de riesgo.
Aquellas empresas que trabajen con clientes globales o que estén en proceso de internacionalización podrían también ver afectadas sus unidades de negocio por las regulaciones y requisitos que varios países, entre ellos Estados Unidos y los países de la Unión Europea imponen al resguardo y tratamiento de datos para poder operar en sus territorios.
"Existen además otros riesgos que si bien no son necesariamente vinculados a ciberataques si tienen que ver con el estado de vulnerabilidad en el que se expone a los datos de los clientes de las compañías, los contratos, acuerdos comerciales, con las que se hacen negocio por el uso de IA sin regulación interna. Regulaciones como la Ley de Protección de Datos Personales y normas internacionales como el GDPR (Reglamento General de Protección de Datos de la Unión Europea) establecen de manera muy precisa el tratamiento, resguardo y manejo que las empresas deben tener de los datos que sean colectados en su territorio. Muchas de estas herramientas no cumplen con los estándares de seguridad necesarios, lo que podría derivar en sanciones legales para las empresas".
¿Cómo minimizar el impacto?
Este panorama representa grandes retos para las organizaciones en ambos frentes, por un lado, la amenaza constante de que el uso de IA abra espacios dentro de las políticas de seguridad de las organizaciones que puedan ser explotadas por cibercriminales, o bien su información de negocio termine filtrada en bases de datos públicas como parte de los entrenamientos de los LLMs de las IA que han sido utilizadas.
En segundo lugar, el riesgo de ser sancionado o bloqueado para tener operaciones en otros países (o con sus empresas) es otro frente que se debe atender cuando se habla del uso de la IA en las empresas. Pero siendo esta una tecnología que toma un papel cada vez más protagónico en la transformación digital de las empresas, ¿Cómo puede lograr una organización equilibro entre seguridad, buenas prácticas, estándares internacionales y avance tecnológico?
"Es un panorama complicado, pero tomando las decisiones correctas, las organizaciones pueden establecer prácticas sanas de uso de Inteligencia Artificial, minimizando al máximo las vulnerabilidades y la exposición de información sensible. En primer lugar, se deben definir reglas claras sobre qué herramientas de inteligencia artificial están permitidas, cómo deben usarse y qué datos pueden procesar. Esto debe ir acompañado de mecanismos de auditoría que permitan rastrear su uso.
Y aunque existen muchas políticas de seguridad y manejo de datos, una de las mejores decisiones que una organización puede adoptar es el llamado modelo Zero Trust o política de Cero Confianza. Este enfoque parte del principio de que ninguna entidad, ya sea interna o externa, debe ser automáticamente definida como confiable y, por lo tanto, tener acceso a la información. Esta aproximación implica tener una estructura en el manejo de los accesos que limita la visualización de información a lo estrictamente necesario para cada entidad, previo una validación de credenciales y autorización interna para que se pueda ejecutar la sesión".
"En Forcepoint, contamos con soluciones basadas en análisis de comportamiento y modelos predictivos, que permiten detectar amenazas antes de que se materialicen. Nuestras plataformas de Data Loss Prevention (DLP) y Cloud Security integran Inteligencia Artificial para analizar patrones de actividad y prevenir accesos no autorizados. Toda esta protección se lleva a cabo de manera proactiva que es la tendencia hacia el futuro, la carrera entre ciberdelincuentes y organizaciones utilizando algoritmos para neutralizar o atacar al otro será una constante y la protección proactiva será clave en este escenario".
