La Apuesta de Ciberseguridad de la Ley de IA de la UE: Los Hackers No Necesitan Permiso
A medida que avanza el desarrollo de la IA, su uso en la ciberseguridad se vuelve inevitable. La IA puede ayudar a detectar y prevenir amenazas cibernéticas de maneras sin precedentes. Sin embargo, también existe el lado opuesto: los actores malintencionados pueden utilizar la IA para desarrollar métodos de ataque más sofisticados, potenciando sus actividades ilícitas. Y los criminales generalmente no se preocupan por adherirse a ninguna restricción sobre cómo utilizar esta tecnología.
Con el avance de la Ley de IA de la UE, muchos en la industria se preguntan: ¿realmente ayudará esta regulación a hacer de Europa un lugar más seguro? ¿O se convertirá en un obstáculo, añadiendo nuevos desafíos a las empresas que intentan aprovechar la inteligencia artificial para protegerse?
Las Medidas de Ciberseguridad de la Ley de IA
La Ley de IA de la UE es el primer marco regulatorio importante que establece reglas claras para el desarrollo y la implementación de la IA. Entre sus muchas disposiciones, la Ley aborda directamente los riesgos de ciberseguridad mediante la introducción de medidas para garantizar que los sistemas de IA sean seguros y se utilicen de manera responsable.
Esto se logra a través de una clasificación basada en riesgos de las aplicaciones de IA, donde cada clase tiene diferentes requisitos de cumplimiento. Naturalmente, los sistemas de mayor riesgo—aquellos que podrían afectar negativamente la salud y seguridad de las personas—están sujetos a demandas más estrictas de seguridad y transparencia.
Además, los sistemas de IA deben someterse a pruebas de seguridad obligatorias y regulares para identificar vulnerabilidades y reducir las posibilidades de que sean explotadas por criminales cibernéticos. Al mismo tiempo, se establecen mejores obligaciones de transparencia e informes. Estos son primeros pasos sólidos para dar estructura a esta industria y legitimarla.
Sin embargo, cuando se trata de ciberseguridad, este enfoque presenta complicaciones y desventajas.
Requerir que los sistemas de IA pasen por tantas verificaciones y certificaciones significa que, en la práctica, el lanzamiento de actualizaciones de seguridad se ralentiza considerablemente. Si cada modificación a las medidas de seguridad basadas en IA necesita un largo proceso de aprobación, se da a los atacantes mucho tiempo para explotar debilidades conocidas mientras las empresas objetivo están atrapadas en burocracia y vulnerables.
La Cuestión de la Transparencia
El tema de la transparencia también es un arma de doble filo, dependiendo de cómo se mire. La Ley de IA exige que los desarrolladores divulguen detalles técnicos sobre sus sistemas de IA a los organismos gubernamentales para asegurar la responsabilidad. Un punto válido, pero esta medida introduce otra vulnerabilidad crítica: si este tipo de información se filtra, podría caer en manos de actores maliciosos, entregándoles efectivamente un mapa de cómo explotar los sistemas de IA. Esto viola uno de los principios básicos de la seguridad: la seguridad a través de la oscuridad.
¿Cumplimiento como Fuente de Vulnerabilidad?
Hay otra capa de riesgo que necesitamos examinar con más detenimiento: la mentalidad de cumplimiento primero. Cuanto más estricta se vuelve la regulación, más los equipos de seguridad se centrarán en construir sistemas que cumplan con los requisitos legales en lugar de amenazas del mundo real. Existe una alta probabilidad de que esto resulte en sistemas de IA que son técnicamente conformes pero operativamente frágiles.
Los sistemas construidos para el cumplimiento inevitablemente compartirán patrones, y una vez que los actores maliciosos tengan conocimiento de esos patrones, les será mucho más fácil ingenear explotaciones en torno a ellos. ¿Resultado final? Sistemas construidos de manera similar quedan igualmente indefensos.
Además, como la Ley exige supervisión humana de las decisiones de IA, hay una posible vía de explotación a través de la ingeniería social. Los ataques pueden dirigirse a los revisores humanos, quienes, con el tiempo, pueden comenzar a aprobar decisiones tomadas por sistemas de IA de manera automática. Esto es especialmente cierto en entornos de alto volumen como el monitoreo de transacciones, donde ya estamos viendo señales de esto en el cumplimiento bancario, donde la fatiga de supervisión puede llevar fácilmente a lapsos de juicio.
Los Desafíos que Enfrentarán las Empresas
Regresando al lado empresarial, debemos aceptar que la Ley de IA presenta obstáculos para cumplir con estas reglas. Para las pequeñas y medianas empresas (PYMES), en particular, esto puede ser un gran desafío, ya que a menudo carecen de los recursos de las grandes corporaciones para dedicar a la conformidad.
Las pruebas de seguridad, las auditorías de cumplimiento, las consultas legales —todo esto requiere inversiones sustanciales. Esto arriesga causar un escenario donde muchas empresas se ven obligadas a reducir la adopción de IA, obstaculizando el avance de este sector. Es muy probable que decidan abandonar la UE, eligiendo avanzar sus operaciones en otras jurisdicciones más amigables.
Desde el punto de vista de la ciberseguridad, tal retroceso sería muy peligroso. No creo que sea necesario decirlo, pero los criminales obviamente no se preocupan por el cumplimiento; son libres de innovar con el uso de IA a la velocidad que deseen, lo que, a este ritmo, rápidamente superará a las empresas legítimas.
Como lo veo, no pasará mucho tiempo antes de que el proceso de descubrir y explotar vulnerabilidades pueda hacerse en cuestión de horas, si no minutos. Mientras tanto, las partes defensoras estarían atrapadas re-certificando sus sistemas durante días o semanas antes de que las actualizaciones de seguridad puedan entrar en vigor.
Integrando las Directrices de la Ley de IA sin Perder Terreno
Así que, como podemos ver, hay muchos desafíos por delante. Sin embargo, a pesar de sus imperfecciones, la Ley de IA no es algo que las empresas puedan simplemente ignorar. Entonces, ¿qué se puede hacer? A mi parecer, el cumplimiento debe volverse más inteligente, no más difícil. Un enfoque más proactivo sería construir sistemas de IA con las regulaciones en mente desde el principio en lugar de adaptar posteriormente.
Esto incluye aprovechar herramientas basadas en IA para automatizar el monitoreo del cumplimiento y comprometerse regularmente con los organismos reguladores para mantenerse informado. También tiene sentido participar en eventos de la industria, compartiendo mejores prácticas y tendencias emergentes en ciberseguridad y cumplimiento en general.
En última instancia, la Ley de IA tiene como objetivo aportar orden y responsabilidad al desarrollo de la IA. Pero en lo que respecta a la ciberseguridad, también introduce fricciones y riesgos serios. Si el objetivo es mantener segura a Europa, entonces la regulación debe evolucionar tan rápidamente como la tecnología que busca gobernar.
Porque en este momento, los defensores están jugando a ponerse al día.
