La IA está en todas partes y transforma la forma en que operan las empresas y cómo los usuarios interactúan con las aplicaciones, los dispositivos y los servicios. Muchas aplicaciones ahora tienen algo de inteligencia artificial en su interior, ya sea para brindar soporte a una interfaz de chat, analizar datos de manera inteligente o ajustar las preferencias del usuario. No hay duda de que la IA beneficia a los usuarios, pero también trae consigo nuevos desafíos de seguridad, especialmente desafíos de seguridad relacionados con la identidad.
¿Qué IA?
Todo el mundo habla de IA, pero este término es muy general y varias tecnologías caen bajo este paraguas. Por ejemplo, la IA simbólica utiliza tecnologías como la programación lógica, los sistemas expertos y las redes semánticas. Otros enfoques utilizan redes neuronales, redes bayesianas y otras herramientas. La IA generativa más reciente utiliza el aprendizaje automático (ML) y los modelos de lenguaje grandes (LLM) como tecnologías centrales para generar contenido como texto, imágenes, video, audio, etc. Muchas de las aplicaciones que usamos con más frecuencia hoy en día, como los chatbots, la búsqueda o la creación de contenido, funcionan con ML y LLM. Es por eso que cuando la gente habla de IA, probablemente se refieren a la IA basada en ML y LLM.
Los sistemas de IA y las aplicaciones impulsadas por IA tienen distintos niveles de complejidad y están expuestos a distintos riesgos. Normalmente, una vulnerabilidad en un sistema de IA también afecta a las aplicaciones impulsadas por IA que dependen de él. En este artículo, nos centraremos en los riesgos que afectan a las aplicaciones impulsadas por IA, aquellas que la mayoría de las organizaciones ya han comenzado a desarrollar o que desarrollarán en un futuro próximo.
Proteja sus aplicaciones GenAI de las amenazas de identidad
Hay cuatro requisitos críticos para los cuales la identidad es crucial al crear aplicaciones de IA.
En primer lugar, la autenticación del usuario . El agente o la aplicación deben saber quién es el usuario. Por ejemplo, un chatbot podría necesitar mostrar mi historial de chat o saber mi edad y país de residencia para personalizar las respuestas. Esto requiere algún tipo de identificación, que se puede realizar con la autenticación.
En segundo lugar, llamar a las API en nombre de los usuarios . Los agentes de IA se conectan a muchas más aplicaciones que una aplicación web típica. A medida que las aplicaciones GenAI se integren con más productos, llamar a las API de forma segura será fundamental.
En tercer lugar, los flujos de trabajo asincrónicos . Los agentes de IA pueden necesitar más tiempo para completar tareas o esperar a que se cumplan condiciones complejas. Pueden ser minutos u horas, pero también días. Los usuarios no esperarán tanto. Estos casos se convertirán en algo habitual y se implementarán como flujos de trabajo asincrónicos, con agentes ejecutándose en segundo plano. En estos escenarios, los humanos actuarán como supervisores, aprobando o rechazando acciones cuando no estén frente a un chatbot.
En cuarto lugar, la autorización para la generación aumentada de recuperación (RAG). Casi todas las aplicaciones GenAI pueden introducir información de varios sistemas en los modelos de IA para implementar la RAG. Para evitar la divulgación de información confidencial, todos los datos que se introducen en los modelos de IA para responder o actuar en nombre de un usuario deben ser datos a los que el usuario tenga permiso de acceso.
Necesitamos resolver los cuatro requisitos para aprovechar todo el potencial de GenAI y garantizar que nuestras aplicaciones GenAI se creen de forma segura.
Aprovechar la IA para ayudar con los ataques de seguridad
La IA también ha facilitado y acelerado la ejecución de ataques dirigidos por parte de los atacantes, por ejemplo, al aprovechar la IA para ejecutar ataques de ingeniería social o crear deepfakes. Además, los atacantes pueden utilizar la IA para explotar vulnerabilidades en aplicaciones a gran escala. Integrar GenAI en aplicaciones de forma segura es un desafío, pero ¿qué pasa con el uso de la IA para ayudar a detectar y responder a posibles ataques con amenazas de seguridad más rápidamente?
Las medidas de seguridad tradicionales como la autenticación multifactor ya no son suficientes por sí solas. La integración de la IA en su estrategia de seguridad de la identidad puede ayudar a detectar bots, sesiones robadas o actividad sospechosa. Nos ayuda a:
- Realice un análisis inteligente de señales para detectar intentos de acceso no autorizados o sospechosos
- Analizar diversas señales relacionadas con la actividad de acceso a las aplicaciones y compararlas con datos históricos en busca de patrones comunes.
- Terminar una sesión automáticamente si se detecta actividad sospechosa
El auge de las aplicaciones basadas en IA tiene un enorme potencial, sin embargo, la IA también plantea nuevos desafíos de seguridad.
¿Que sigue?
La IA está cambiando la forma en que los humanos interactúan con la tecnología y entre sí. En la próxima década, veremos el surgimiento de un enorme ecosistema de agentes de IA: redes de programas de IA interconectados que se integran en nuestras aplicaciones y actúan de forma autónoma para nosotros. Si bien GenAI tiene muchos aspectos positivos, también presenta riesgos de seguridad significativos que deben tenerse en cuenta al crear aplicaciones de IA. Es fundamental permitir que los desarrolladores integren GenAI de forma segura en sus aplicaciones para que estén preparadas para la IA y las empresas.
La otra cara de la IA es que puede ayudar a hacer frente a las amenazas de seguridad tradicionales. Las aplicaciones de IA se enfrentan a problemas de seguridad similares a los de las aplicaciones tradicionales, como el acceso no autorizado a la información, pero con el uso de nuevas técnicas de ataque por parte de actores maliciosos.
La IA es una realidad, para bien o para mal. Aporta innumerables beneficios a los usuarios y desarrolladores, pero al mismo tiempo, plantea preocupaciones y nuevos desafíos en el ámbito de la seguridad y en todas las organizaciones.
Fuente y redacción: thehackernews.com
