¿Por qué la IA generativa representa un alto riesgo para la seguridad informática de las organizaciones?

Es fundamental mantener una estrategia que impulse los controles de uso de esta tecnología en las diferentes áreas y, al mismo tiempo, que no impida la innovación.

Por: Alejandro Dutto, Director de Ingeniería de Seguridad para Tenable América Latina y Caribe

Alejandro Dutto Director de Ingeniería de Seguridad para Tenable América Latina y Caribe BR

Pocas tecnologías a lo largo de la historia despertaron la pasión que produjo la IA generativa en las organizaciones: prácticamente no existe empresa que no la haya probado.

Según datos recientes de IDC, el 70 % de las grandes empresas peruanas incrementará su presupuesto en IA en los próximos dos años.

Los beneficios potenciales y reales de esta innovación son numerosos, y van desde una mayor productividad hasta una mejor experiencia de empleados y clientes, pasando por mayores niveles de automatización y eficiencia o la aceleración en el desarrollo de productos, por citar algunos entre los infinitos ejemplos. La contracara: su adopción implica también algunos riesgos y peligros.

La popularidad de la IA generativa, por ejemplo, lleva a un uso dentro de las empresas que está literalmente fuera de control. Lejos de centralizarse en el área de IT o de cumplir con criterios de gobernanza preestablecidos, muchísimos usuarios aprovechan las ventajas de esta tecnología en un plano shadow, es decir, fuera del conocimiento de la compañía.

Tenable Research pone este fenómeno en números: más de un tercio de los equipos de seguridad encontraron aplicaciones de IA en su entorno que no se habían aprovisionado mediante un proceso formal.

Más allá de la Inocencia

En la mayoría de los casos se trata de un uso “inocente”, en el cual un colaborador apela a la IA generativa para resolver alguna tarea cotidiana sin ninguna intención de generar un perjuicio para la empresa.

Sin embargo, en la realidad, con cada uno de estos usos no autorizados se está abriendo una puerta llena de riesgos, entre ellos, el creciente volumen de vulnerabilidades que se multiplica casi a diario, desde infracciones y exploits hasta la vulneración de información confidencial.

La utilización descontrolada de la IA generativa puede incluir también fugas de datos, en líneas generales involuntarios. Particularmente, en el caso de desarrollo de grandes modelos de lenguaje (LLM), ya que el aprendizaje incluye información crítica y aportes -que podrían contener datos sensibles- brindados por la propia organización.

Los datos de Tenable Research son concluyentes: es necesario tomar cartas en el asunto y generar una estrategia de gobernanza para repensar el uso de la IA generativa dentro de las organizaciones.

El delicado equilibrio entre control e innovación

El desafío tiene un ingrediente adicional: se debe controlar lo suficiente para minimizar los riesgos, pero no tanto como para bloquear la innovación. En especial en estos tiempos, en que un desarrollo de IA generativa implementado en tiempo y forma puede convertirse en un diferencial frente a la competencia.

¿Qué se puede hacer desde la estrategia de ciberseguridad para mitigar estos peligros? Por un lado, es imprescindible adoptar procesos y tecnologías que proporcionen información contextualizada y manejable sobre soluciones de IA no aprobadas o desarrollos de IA en marcha no autorizados que pueden comprometer la seguridad y el cumplimiento de los datos. Por el otro, incluso cuando se trata de las aplicaciones de IA que sí atravesaron todos los procesos formales, es crítico monitorear y detectar nuevas vulnerabilidades.

La IA generativa representa un fenómeno tan irrefrenable como paradójico. Las empresas que no la adopten podrían correr en desventaja de cara al futuro, tanto como aquellas que la hagan de manera descuidada, descontrolada e irresponsable.