Asistente de IA, ¿amigo, enemigo o semidiós?
Cuando se lanzó el teléfono al mercado, muchos pronosticaron que sería un fracaso, ya que se pensaba que la gente no querría dar a los demás una forma de cruzar la puerta de su casa e invadir su intimidad. A pesar de la gran cantidad de aparatos y artilugios que se han creado a lo largo de los años para ahorrar tiempo, la gente sigue quejándose de que no tiene tiempo suficiente durante el día. Cuando Hiram Maxim inventó la ametralladora en 1884, la idea predominante era que evitaría las guerras. Después de todo, ¿qué ejército atacaría una posición defensiva con ese tipo de arma a su disposición? Y luego aparecieron los taxis autónomos, que se suponía que nos llevarían a todas partes, y que sin embargo siguen sin encontrarse.
Parece que el legado de los inventos es difícil de predecir. La gente dice valorar la privacidad, pero luego comparte cada momento privado en las redes sociales. Esperamos que la tecnología nos haga más eficientes, y luego pasamos nuestro limitado tiempo libre parcheando, actualizando y mejorándolo todo. Y de alguna manera, todavía no hemos aprendido que la espada y el cañón pueden ser utilizados tanto por los amigos como por los enemigos.
El lanzamiento de ChatGPT
Decir que el lanzamiento de la última versión de ChatGPT por parte de OpenAI ha generado gran expectación e interés en todo el mundo sería quedarse corto. Es uno de esos inventos que parecen destinados a causar un gran impacto en el mundo. Hasta su debut, el contacto del ciudadano medio con la IA se limitaba a ordenar a Alexa que apagara las luces del piso de abajo y a soportar la frustración de intentar convencer al chat virtual de la banca electrónica de que le pasara con un agente humano. OpenAI está abriendo las mentes de personas de todo el mundo al verdadero potencial de la IA.
La promesa de la seguridad integrada con la IA
Pocos sectores apuestan más por el poder de la IA que el de la ciberseguridad. No hay duda de que las empresas necesitan una solución mágica para combatir el creciente número de ataques procedentes de un panorama de amenazas cuyo crecimiento es exponencial. La promesa de la seguridad basada en la IA es sencilla. Los controles de seguridad de los sistemas de control son insuficientes para proteger la naturaleza dinámica de las complejas redes híbridas actuales, y la “nubificación” de las redes dificulta la visibilidad en el mejor de los casos. Si a esto le sumamos la creciente falta de talento de los profesionales de la ciberseguridad, empezamos a entender por qué la inteligencia artificial es tan prometedora para esta comunidad. La escasez de personal está contribuyendo al aumento de la prevalencia de los errores de configuración de los sistemas que, según Gartner, son la causa del 80% de todas las brechas en la seguridad de los datos. Mientras que el personal informático desbordado de trabajo debe encargarse de proteger todos los aspectos de las cada vez mayores superficies de ataque, los ciberdelincuentes solo necesitan explotar el eslabón más débil de la cadena para lograr sus objetivos maliciosos.
Debemos aceptar lo bueno y lo malo
No cabe duda de que la IA puede tener un gran impacto positivo en la ciberseguridad. Decidimos preguntar a la propia ChatGPT cómo mejorarán los asistentes virtuales de IA la ciberseguridad de las empresas en el futuro. Esto es lo que nos respondieron:
“Los asistentes virtuales de IA pueden ayudar a las empresas a mejorar su ciberseguridad mediante el uso del procesamiento del lenguaje natural (PLN) para detectar cualquier actividad sospechosa, detectando rápidamente intentos de phishing, malware y otras amenazas. También pueden utilizarse para automatizar y agilizar tareas de seguridad manuales y tediosas, como la aplicación de parches, la actualización y la supervisión de sistemas. Esto puede dejar más tiempo libre a los equipos informáticos para que se centren en tareas más importantes, como responder a las ciberamenazas y desarrollar sistemas más seguros.”
Todo esto suena de maravilla, pero también es importante recordar que, por cada Yin, hay un Yang. Se podría argumentar que ninguna otra herramienta ha contribuido más a la productividad de la oficina que el PC. Sin embargo, el PC también representa un importante foco de vulnerabilidad que los agresores externos aprovechan regularmente, mediante el malware o los correos electrónicos de phishing, para acceder a nuestras redes conectadas y a nuestras cuentas en línea. Si bien la escalabilidad de la nube ofrece a las empresas la capacidad de atender a una base de clientes globalmente en expansión, también magnifica el daño que puede infligir un solo atacante. A pesar de las garantías de la comunidad de la IA, ésta también traerá consigo nuevas amenazas y vulnerabilidades.
Cómo se puede manipular la IA
Entregar todo el control a una persona, sistema o entidad conlleva sus riesgos. Aunque utilizar asistentes de programación como GitHub Copilot, Facebook InCoder y ChatGPT tiene sus ventajas, estas herramientas introducen nuevas vulnerabilidades. Según Ziv Nachman, analista de inteligencia sobre ciberamenazas de CYREBRO:
«Desde el punto de vista de la inteligencia, el uso de herramientas como GitHub Copilot, Facebook InCoder, e incluso la estrella emergente ChatGPT, no sólo puede dar lugar a robos de código involuntarios, sino también crear una situación en la que el modelo de aprendizaje sea manipulado por los atacantes para producir código vulnerable. Tu copiloto podría ser la causa de que tu avión se estrelle.”
Como ya hemos dicho, un arma puede servir para dos propósitos. Este parece ser también el caso de las herramientas inteligentes. Los investigadores de Trend Micro, demostraron cómo GitHub Codespaces puede configurarse fácilmente como distribuidor de contenido malicioso, pudiendo evitar la detección, ya que el tráfico aparenta provenir de Microsoft. En otro estudio, investigadores de Microsoft y varias universidades idearon un ataque de envenenamiento capaz de engañar a los asistentes de programación basados en IA para que sugieran código que puede utilizarse con fines maliciosos. Es práctica habitual que los desarrolladores expongan a los asistentes de programación de IA a repositorios públicos de código para entrenarlos. Al depositar código malicioso en estos sitios públicos, los ciberdelincuentes esperan influir en las prácticas de código de estos asistentes de programación.
OpenAI, la empresa que controla ChatGPT, ha insistido en que la plataforma de generación está diseñada para no generar código peligroso. Sin embargo, un equipo de Check Point Research, ha comunicado que fue capaz de convencer a ChatGPT para que escribiera un correo electrónico de phishing. Evidentemente, el equipo le incitó a hacerlo en una situación “hipotética”. CPR también afirma que, participantes en foros de ciberdelincuencia con una experiencia mínima en programación, están usando la plataforma de IA para crear ransomware, spam malintencionado y otros programas maliciosos.
El equilibrio adecuado
Por desgracia, no existe una varita mágica que pueda eliminar a los actores causantes de las amenazas ni a los códigos maliciosos que atacan su red. Lo que las empresas necesitan es un equilibrio adecuado de herramientas integrales, respaldadas por profesionales de la ciberseguridad competentes y experimentados, que sepan cómo aprovechar los datos de seguridad y remediar las amenazas. Por eso, muchas empresas están recurriendo a los servicios de un centro de operaciones de seguridad (SOC) que tiene la capacidad de supervisar su red las 24 horas del día, los 7 días de la semana, aprovechando al máximo las herramientas de seguridad disponibles.
Conclusión
Al igual que nadie podía predecir el impacto del PC en la empresapromedio, cualquier predicción sobre el impacto a largo plazo de las plataformas de programación asistida por IA es, en el mejor de los casos, especulativa. Estas plataformas están aún en sus primeras estapas de desarrollo. No sólo la IA tiene mucho que aprender, sino también sus creadores y sus usuarios. No cabe duda de que necesitamos análisis inteligentes para ayudar a nuestros equipos humanos de seguridad, pero no es el momento de entregar las llaves del reino, ni de depositar todas nuestras esperanzas en esta tecnología en ciernes, porque la tecnología siempre trae consigo decepciones imprevistas.