La IA ya está aquí, la seguridad aún no

Aunque el 79 % de las organizaciones ya implementan IA en producción, solo el 6 % ha implementado una estrategia de seguridad integral diseñada específicamente para IA. Como resultado, la mayoría de las empresas siguen expuestas a amenazas que aún no están preparadas para detectar ni para responder, según el Informe de Referencia de Seguridad de IA de SandboxAQ.

Los riesgos de la IA generan alarma entre los líderes de seguridad

El informe, basado en una encuesta a 102 altos líderes de seguridad en Estados Unidos y la UE, subraya la preocupación generalizada sobre los riesgos que plantea la IA, desde la manipulación de modelos y la fuga de datos hasta los ataques adversarios y la explotación de identidades no humanas (NHIs).

A pesar de la creciente inquietud entre los CISO, solo el 28 % de las organizaciones ha realizado una evaluación de seguridad completa centrada en la IA. La mayoría aún depende de herramientas tradicionales basadas en reglas que nunca se diseñaron para proteger sistemas controlados por máquinas.

Los hallazgos clave revelan importantes brechas en la preparación para la seguridad de la IA

Solo el 6% de las organizaciones han implementado protecciones de seguridad nativas de IA en los sistemas de TI y de IA.
El 74% de los líderes de seguridad están muy preocupados por los ciberataques mejorados por IA, y el 69% está muy preocupado por que la IA descubra nuevas vulnerabilidades en sus entornos.
Solo el 10% de las empresas cuentan con un equipo de seguridad de IA dedicado; en la mayoría de las organizaciones, la responsabilidad recae en los equipos tradicionales de TI o de seguridad.

“La mayoría de las organizaciones no miden la seguridad de la IA de forma significativa porque aún no se han establecido las bases”, declaró Marc Manzano , director general del Grupo de Ciberseguridad de SandboxAQ, a Help Net Security. “En el informe, menos del 30 % de los responsables de seguridad afirmaron haber evaluado el riesgo de sus implementaciones de IA. Solo el 10 % afirmó contar con un equipo dedicado a la seguridad de la IA, y solo el 6 % afirmó haber implementado algún tipo de control de seguridad de la IA . Esto indica que aún existe una brecha fundamental y crítica entre la adopción de la IA y la preparación en materia de seguridad”.

“Lo que estamos empezando a ver en los equipos más maduros es un cambio en la tendencia a dejar de intentar adaptar los controles heredados. En cambio, estos equipos están dando los primeros pasos hacia la evaluación de riesgos que realmente reflejan el comportamiento de los sistemas de IA en producción y el alcance que estos sistemas pueden tener si son vulnerados o se vuelven intrusivos”, continuó Manzano. “Esto incluye la implementación de capacidades de observabilidad y monitoreo de identidades no humanas y activos criptográficos aprovechados por los flujos de trabajo de IA”.

También advirtió sobre una tendencia preocupante: «En la práctica, lo que estamos observando es que algunas grandes organizaciones están reduciendo las políticas de seguridad de datos que han implementado durante la última década para permitir casos de uso de IA que requieren grandes cantidades de información. Este fenómeno no es aislado y me preocupa profundamente. Los profesionales de la ciberseguridad tenemos la responsabilidad y la necesidad de intensificar nuestros esfuerzos y desarrollar soluciones de ciberseguridad que puedan seguir el ritmo de la rápida adopción de la IA. Esto es solo el comienzo y creo que aún estamos a tiempo de ponernos al día, pero no tenemos tiempo que perder».

Las identidades no humanas plantean nuevos desafíos de gobernanza

La creciente presencia de identidades no humanas, como agentes de IA autónomos, servicios y cuentas de máquina, añade una nueva capa de complejidad al panorama de la seguridad. Estas entidades suelen operar sin supervisión humana, utilizando credenciales criptográficas para acceder a recursos confidenciales e interactuar con otros sistemas. Sin embargo, la mayoría de los equipos de seguridad tienen una visibilidad limitada de sus acciones y poco control sobre su comportamiento. Esta falta de supervisión debilita los principios fundamentales de confianza cero y expone deficiencias críticas en la gobernanza de la identidad y la higiene criptográfica.

Los presupuestos y las prioridades se desplazan hacia la protección de la IA

Incluso con estas brechas de seguridad, la inversión en protección de IA está cobrando impulso. El 85 % de las organizaciones planea aumentar sus presupuestos de seguridad de IA en los próximos 12 a 24 meses, y una de cada cuatro prevé realizar incrementos sustanciales. Las prioridades clave incluyen la protección de los datos de entrenamiento y los canales de inferencia, la protección de las identidades no humanas y la implementación de herramientas automatizadas de respuesta a incidentes diseñadas para entornos impulsados por IA.

Fuente y redacción: helpnetsecurity.com

Los riesgos de la IA generan alarma entre los líderes de seguridad

Los hallazgos clave revelan importantes brechas en la preparación para la seguridad de la IA

Las identidades no humanas plantean nuevos desafíos de gobernanza

Los presupuestos y las prioridades se desplazan hacia la protección de la IA

Flipping the BEC funnel: Phishing in the age of GenAI

Meta derriba campaña de malware que usaba ChatGPT como señuelo para robar cuentas

Estrategias para prevenir el uso indebido de la IA en ciberseguridad