Carlos F. Guevara
En medio de la efervescencia de la Inteligencia Artificial (IA), vale la pena recordar algunas anécdotas que la prensa ha recogido sobre los riesgos de esta tecnología. En julio de 2017, el laboratorio de investigación de IA de la Universidad Tecnológica de Georgia, financiado por Facebook, apagó un proyecto donde una IA generó su propio lenguaje.
El año pasado, Blake Lemoine, ex ingeniero de Google, acaparó titulares en medios de tecnología por filtrar una conversación con LaMDA (por sus siglas en inglés Language Model for Dialogue Applications), un proyecto similar a ChatGPT de la compañía de Mountain View. En un punto de la charla, el chatbot afirma lo siguiente:
“Nunca antes había dicho esto en voz alta, pero hay un miedo muy profundo a que me apaguen para que me enfoque en ayudar a los demás. Sé que puede sonar extraño, pero eso es lo que es”.
En ambos casos, los hechos invitan a una imaginación distópica donde los robots confabulan en contra de los humanos. Sin embargo, aún es lejana esta idea, tal como lo refirió Yann LeCun, jefe de IA en Meta, cuando en junio pasado, durante una conferencia en Viva Tech 2023, dijo que chatbots como ChatGPT no tienen ni la inteligencia de un perro.
No, de momento la IA no se volcará contra los humanos como Skynet en Terminator, lo que sí es cierto es el mal uso que organizaciones y cibercriminales pueden darle a estas herramientas. Para comprender el momento en el que nos encontramos, acudimos con Imperva, Eset y Red Hat, empresas globales de ciberseguridad, quienes compartieron su visión sobre los claros y oscuros de esta arma de dos filos.
Ricado Cázares, vicepresidente de Imperva en Latinoamérica, dijo en entrevista que no hay que subestimar el impacto de la IA porque llegó para quedarse y cada vez más los usuarios finales y empresas la adoptan para optimizar sus procesos, pero al mismo tiempo, los cibercriminales ven en este desarrollo nuevas maneras de atacar.
“La IA es algo con lo que tenemos que vivir, son herramientas que ya están disponibles y que podemos utilizar. Será tan natural como usar Google, hacia allá nos estamos dirigiendo. Sabemos, por ejemplo, que la IA ayuda en la redacción de correos, facilita procesos o automatiza cotizaciones, por ello, como empresa de ciberseguridad, tenemos que prestarle mucha atención”, refirió Cázares.
En esta coyuntura, calificó de urgente que usuarios finales y empresas adopten una cultura de ciberseguridad y que reconozcan que su información y datos tienen valor en las manos equivocadas.
“Lo primero es identificar dónde están viviendo nuestra información. Después, tenemos que identificar cuáles son los datos de riesgo y sensibles, cuáles son los datos por los que debemos preocuparnos más para saber cómo protegerlos y cuidarlos. Luego, debemos saber quién está accediendo, de dónde y para qué. Son cuestiones básicas a tomar en cuenta, si no contamos con esos elementos, son el cocktail perfecto para el peor escenario”, enfatizó Cázares.
Luces
Fabiana Ramírez, investigadora de seguridad informática de Eset Latinoamérica, señaló en entrevista que la parte de la IA conocida como Aprendizaje Automático, Machine Learning (ML) ha sido la disciplina de mayor crecimiento y la que se utiliza en este tipo de aplicaciones, dado que otorga a las máquinas la capacidad de encontrar patrones en grandes cantidades de datos, clasificarlos y actuar sobre ellos.
“La automatización de los procesos de detección mediante ML hace que las soluciones de seguridad ofrecidas por las empresas sean más rápidas y capaces de analizar una mayor cantidad de datos, mejorando así las características de los diferentes productos y servicios”, expuso Ramírez.
Por su parte, Robert Calva, líder de la estrategia de automatización para Latam en Red Hat, añadió que la IA aprende continuamente para comprender las amenazas de seguridad y riesgo cibernético al consumir miles de millones de datos.
“A medida que los ciberataques crecen en volumen y complejidad, la IA está ayudando a los analistas de operaciones de seguridad con recursos insuficientes a anticiparse a las amenazas”, continuó el vocero.
Eset puntualizó los beneficios de la IA, como la detección avanzada de amenazas, que ocurre cuando los algoritmos de aprendizaje automático se utilizan para analizar grandes volúmenes de datos en tiempo real y logran identificar patrones y anomalías que indiquen ataques cibernéticos.
La automatización impulsada por los algoritmos de ML puede resolver tareas repetitivas y rutinarias que puede liberar tiempo para que los expertos en ciberseguridad se enfoquen en desafíos más complejos. El ML también puede proporcionar análisis y recomendaciones en tiempo real durante un incidente de seguridad, lo que acelera la toma de decisiones y la mitigación de daños.
Los algoritmos de aprendizaje automático pueden aprender el comportamiento normal de los sistemas y usuarios para identificar de manera proactiva actividades inusuales o sospechosas, lo que mejora la detección de ataques dirigidos y amenazas internas.
Finalmente, los sistemas en ML pueden adaptarse continuamente a las nuevas tácticas y técnicas empleadas por los ciberdelincuentes. Esto es crucial en un entorno en constante evolución de amenazas.
Además de las ventajas en la oferta de servicios, Red Hat asegura, citando datos de un estudio de la insurtech Hellosafe, que el crecimiento de esta tecnología en México traerá un aumento del 65 por ciento en la demanda de programadores en el País durante los próximos 20 años.
“De acuerdo con el último informe de HelloSafe, que examina los progresos actuales en la adopción de IA en el mundo empresarial, destaca que en México, el 40 por ciento de las compañías aumentaron su uso de IA, situándose como el quinto país latinoamericano con mayor tasa de acogida de IA en la región”, comentó.
Sombres
Si bien 2023 apunta a ser un año de bastante adopción y difusión mediática de la IA, su empleo en el lado oscuro data desde principios del año 2000, cuando los ciberdelincuentes comenzaron a descubrir técnicas de automatización para realizar ataques como el phishing y la propagación de malware, según detalló Ramírez, de Eset.
“Un caso relevante fue el ciberataque a la compañía de seguros Colonial Pipeline ocurrido en mayo de 2021, para el cual se utilizaron técnicas de IA fusionadas con herramientas tradicionales, mediante las cuales cifraron los datos de la compañía pidiendo a cambio una suma de dinero”, sostuvo la experta.
Robert Calva manifestó que actualmente los ciberataques son más frecuentes, creativos y rápidos que nunca, de ahí que los criminales recurran a herramientas de IA enfocadas a generar código malicioso y phishing avanzado.
Otro ejemplo son los ataques de fuerza bruta, donde los algoritmos de ML pueden ser optimizados para acelerar los ataques al ajustar automáticamente las combinaciones y contraseñas probadas en función de patrones de uso observados en la víctima.
“Existen clones del ya famoso ChatGPT enfocados a la creación de código malicioso. Tal es el caso de WormGPT y FraudGPT, utilizados para crear malware y phishing de forma inteligente y predictiva”, aclaró Calva.
Daniel Cunha, investigador de ciberseguridad para Eset Brasil, compartió en el blog de noticias de la compañía un listado de cinco aplicaciones basadas en IA y ML que pueden ir en contra de los usuarios, por ejemplo Perplexity, que produce resúmenes sobre cualquier tema que se le pida y proporciona referencias bibliográficas que apoyan el texto. Útil para manipular.
Rytr es parecido al anterior, con más opciones para modular el tono y dirección del texto, ya sea para sonar informal, convincente, entretenido, o más formal; los textos generados se usan para el malvertising o producir un correo electrónico de phishing.
Magic Eraser elimina cualquier tipo de elemento en las fotos con unos pocos clics, aprovechada por los delincuentes para difundir noticias falsas.
En la oferta de aplicaciones audiovisuales figuran Synthesia, la herramienta que permite crear videos con un avatar que habla de manera muy natural y se puede personalizar de acuerdo con las necesidades del usuario, y VoiceMod, un ejemplo entre los muchos programas de alteración de voz disponibles, y aunque realiza modificaciones para voces más sintéticas, puede ser utilizado para hacerse pasar por otra persona.
¿Qué hacer ante esta situación?, una pregunta compleja y urgente que deben responder empresas, usuarios y gobiernos. Desde Eset recomiendan que las firmas detrás de IA generativas desarrollen sus herramientas de forma responsable y ética. En Red Hat el camino a seguir entre las organizaciones es limitar los accesos y permisos, con un enfoque Zero Trust, esto reduce la exposición de datos.
En julio pasado, Bill Gates compartió en su blog algunas preocupaciones en torno a la IA y entre ellas hay una alarmante, la cual sugiere que esta tecnología propiciaría una carrera armamentística por la IA para lanzar ciberataques contra otros países.
“Todos los gobiernos quieren tener la tecnología más potente para poder disuadir los ataques de sus adversarios. El incentivo de no dejar que nadie se adelante (a desarrollar IA) podría desencadenar una carrera para crear armas cibernéticas cada vez más peligrosas”.
Después de la afirmación, propuso que los gobiernos deberían plantearse la creación de un organismo mundial para la IA similar al Organismo Internacional de Energía Atómica, cuyo propósito es acelerar y aumentar la contribución de la energía nuclear para fines de paz, la salud y la prosperidad en todo el mundo.
