La revolución de la Inteligencia Artificial Generativa y sus desafíos en ciberseguridad
La Inteligencia Artificial Generativa ha capturado el interés y la atención estratégica de salas de juntas y líderes empresariales a lo largo y ancho del panorama corporativo nacional. Lo que en sus inicios era una tecnología en la periferia y de complicado manejo, ha sido catapultada a la vanguardia gracias a innovaciones como ChatGPT o DALL-E, transformándose en una herramienta poderosa y accesible. Estamos presenciando una adopción extendida, que cruza industrias y barreras generacionales, donde los empleados hallan formas ingeniosas de utilizar esta tecnología para enriquecer su quehacer profesional.
Una reciente consulta de mercado sugiere que el 29% de la Generación Z, el 28% de la Generación X y el 27% de los Millennials ya integran herramientas de IA generativa en su rutina laboral. Durante 2022, su adopción masiva se sitúo cerca del 23%, y se prevé que este porcentaje se eleve hasta el 46% para el año 2025.[automatic_youtube_gallery type="search" search="Análisis de las Implicaciones en Ciberseguridad de las Herramientas de IA Generativa" cache="2419200" per_page="1" thumb_excerpt="0" player_description="0"]
Esta tecnología emergente, que evoluciona a pasos agigantados, se basa en modelos de aprendizaje que generan contenidos originales en variados formatos: textos, imágenes, videos, música e incluso código de software. Con el soporte de modelos avanzados de lenguaje natural y vastos repositorios de datos, estas herramientas son capaces de producir material único, a menudo indistinguible de la producción humana y, en ocasiones, con una precisión y persuasión aún mayores.
Sin embargo, el incremento en la adopción de estas tecnologías y la ausencia de un marco regulatorio sólido, han generado alarmas significativas en ciberseguridad y normativa de cumplimiento. Según una encuesta reciente en la población en general, más del 80% muestra inquietud por los peligros para la seguridad que entrañan sistemas como ChatGPT y la IA generativa, y un 52% apela por una pausa en su desarrollo hasta que las regulaciones puedan alcanzarlas. Esta cautela se refleja también en el tejido empresarial, donde un 65% de los líderes TI prefieren no conceder un acceso inmediato e ilimitado a estas herramientas debido a preocupaciones de índole securitaria.
La IA generativa: un enigma por descifrar
Las herramientas de IA generativa se nutren de vastos conjuntos de datos. Modelos como los que utilizan ChatGPT y DALL-E se adiestran usando información libre disponible en internet, pero para optimizar su funcionalidad, los usuarios a menudo deben suministrar datos significativamente específicos y delicados. A resultas, cuando las personas recurren a estas herramientas, podrían estar exponiendo sin querer información confidencial del negocio, lo cual plantea numerosas incógnitas para las corporaciones. El riesgo de acceso no autorizado o de divulgación accidental de datos sensibles es inherentemente posible en el uso de estas herramientas de acceso público.
Este riesgo en sí no es negativo per se. La cuestión es que hasta el momento, no se ha tenido una perspectiva clara y completa de su impacto empresarial. Falta aún por desarrollarse un análisis detallado y los marcos legales y regulatorios que rodean a la IA generativa todavía están en fases iniciales de maduración.
La regulación, un desafío en desarrollo
Los entes reguladores examinan con lupa las herramientas de IA generativa, enfocándose en aspectos como la privacidad, la seguridad y la integridad de los datos que generan. No obstante, como suele suceder con las tecnologías en alza, existe un desfase en el aparato regulador necesario para sostener y fiscalizar su uso. Mientras la tecnología es adoptada globalmente por empresas y trabajadores, los marcos de regulación permanecen en sus etapas conceptuales.
Este escenario genera un riesgo latente y urgente para las empresas que, por el momento, probablemente no están tomando las medidas apropiadas. Los ejecutivos, naturalmente, se centran en las ventajas comerciales potenciales que estas herramientas pueden aportar, como la automatización y el crecimiento innovador, mientras que los expertos en gestión de riesgos se cuestionan cómo se regulará la tecnología, sus posibles implicancias legales y cómo podría verse afectada la seguridad de la información corporativa. Dado que muchas de estas herramientas están disponibles sin coste alguno, mientras esperan que la regulación se actualice, las empresas deben comenzar a diseñar cuidadosamente sus propios sistemas y protocolos internos de uso sobre la IA generativa.
El rol crucial de los CISO en la gobernanza de la IA generativa
Ante la falta de marcos normativos definitivos, los directores de seguridad de la información (CISO) deben tomar la iniciativa y desempeñar un papel crucial en la administración de IA generativa dentro de sus organizaciones. Deben conocer quién usa la tecnología y con qué propósito, cómo proteger los datos corporativos cuando los empleados interactúan con estas herramientas y cómo manejar los riesgos de seguridad que subyacen a la tecnología, buscando siempre equilibrar las ventajas con los potenciales riesgos.
Este no es un camino sencillo. Se deben implementar valoraciones de riesgo detalladas para establecer los efectos, tanto positivos como negativos, derivados de la adopción de estas tecnologías, ya sea de forma oficial o permitiendo su uso libre por parte de los trabajadores sin supervisión estrecha. Considerando la facilidad de acceso a las aplicaciones de IA generativa, los CISO deben reflexionar meticulosamente sobre políticas corporativas que regulen su empleo. ¿Es aconsejable permitir que los empleados utilicen herramientas como ChatGPT o DALL-E libremente? ¿O debería restringirse el acceso a estas herramientas y establecerse directrices claras y marcos de uso? Una complicación evidente es que, dado el ritmo de evolución de la tecnología, cualquier pauta interna podría quedar desactualizada antes de su puesta en marcha.
En definitiva, un enfoque viable podría ser desviar el foco de las propias herramientas de IA generativa hacia la clasificación y protección de los datos. La clasificación ha sido siempre un elemento crítico para la salvaguarda de datos frente a infracciones o filtraciones, y este principio es igualmente aplicable al caso específico de la IA generativa. Implica asignar un nivel de sensibilidad a los datos que determine su tratamiento: ¿Deberían estar cifrados? ¿Limitados a una contención? ¿Se debe notificar su uso? ¿Quién deberá tener acceso a ellos y en qué circunstancias es permitido compartirlos? Concentrándose en la circulación de los datos, más que en la herramienta generativa en sí, los CISOs y equipos de seguridad lograrán una mejor oportunidad para mitigar algunos de los riesgos citados.
Como toda tecnología emergente, la IA generativa comporta tanto oportunidades como desafíos para las organizaciones. Mientras ofrece capacidades novedosas y excitantes como la automatización y la generación creativa de conceptos, también plantea desafíos complejos asociados a la seguridad de los datos y la protección de la propiedad intelectual. En la ausencia de marcos legales y regulatorios concretos, recae en las empresas la responsabilidad de navegar entre la oportunidad y el riesgo, instaurando controles basados en políticas que reflejen su postura de seguridad general. La IA generativa tiene el poder de transformar los negocios, pero es imprescindible garantizar el control y dirección prudente durante su trayectoria.