Kiteworks advierte sobre las brechas de seguridad de IA que dejan expuesta la infraestructura energética a ataques de estados-nación
Nueva investigación ha identificado varios riesgos que ya están surgiendo en el sector de energía y servicios públicos este año. Los hallazgos indican que las brechas en las pruebas de seguridad de IA dejan los sistemas operativos sin protección contra amenazas de estados-nación, junto con un monitoreo centralizado débil que permite que los ataques persistan sin ser detectados. Las organizaciones también enfrentan tiempos de respuesta extendidos debido a la ausencia de manuales de respuesta específicos para IA, mientras que el limitado compromiso a nivel de junta está retrasando las inversiones necesarias en seguridad.
Análisis de la situación actual
La investigación subraya cómo la gobernanza de IA en las etapas iniciales sigue siendo insuficiente en el sector. Solo el 9% de las organizaciones de energía informa que realiza pruebas de seguridad de IA, mientras que solo el 14% mantiene manuales de respuesta a incidentes específicos de IA, dejando los sistemas críticos vulnerables a adversarios cada vez más sofisticados.
Se prevé que durante 2026, los actores de estados-nación exploten las brechas en las pruebas de seguridad para comprometer la IA de infraestructura crítica; el monitoreo centralizado débil dejará los ataques de IA indetectados hasta que ocurra un impacto físico; las brechas de respuesta a incidentes extenderán el tiempo de compromiso de la IA y el daño; y la falta de atención de la junta a la gobernanza de IA retrasará inversiones críticas en seguridad.
Implicaciones y riesgos
El sector ha construido controles fuertes, liderando en controles de acceso a conjuntos de datos y evaluaciones de impacto de privacidad, pero aún queda rezagado en monitoreo centralizado y capacidades de respuesta a incidentes necesarias para defender los sistemas de IA. La brecha más peligrosa es la de las pruebas de seguridad, que se considera una invitación a adversarios sofisticados.
Con el 91% de las organizaciones de energía nunca realizando ejercicios de prueba de seguridad de IA, estas se enfrentan a superficies de ataque no probadas. Los actores de estados-nación que apuntan a la infraestructura energética invierten recursos significativos en identificar rutas de ataque, y la falta de pruebas de seguridad representa una vulnerabilidad crítica.
Recomendaciones
Las organizaciones deben centrarse en establecer programas de pruebas de seguridad de IA como una prioridad de seguridad nacional. La implementación de un monitoreo centralizado a través de una puerta de enlace de datos de IA es esencial para detectar ataques coordinados. También deben desarrollar capacidades específicas de respuesta a incidentes para la infraestructura crítica, documentando procedimientos de respuesta para amenazas como la manipulación de modelos y la exfiltración de datos.
La gobernanza de IA debe elevarse a una prioridad crítica a nivel de junta, alineando las inversiones en seguridad de IA con la fiabilidad de la red y la seguridad pública. Finalmente, es fundamental aplicar principios de protección de datos para los conjuntos de datos de entrenamiento de IA, asegurando que toda la información sensible esté cifrada y protegida adecuadamente.
Conclusión
La atención a la gobernanza de IA en el sector energético no solo es necesaria como un ejercicio de cumplimiento, sino como una prioridad de protección de infraestructura crítica. Las inversiones en seguridad deben abordarse con la misma seriedad que otros aspectos de la seguridad pública para proteger la infraestructura energética frente a amenazas emergentes.
