Aumento rápido de la adopción de IA aumenta el riesgo de TI en la sombra
Más del 80 por ciento de las empresas más grandes del mundo ahora utilizan IA en el desarrollo de software, pero muchas organizaciones tienen poco control sobre su uso. Se advierte que el uso clandestino de IA se está convirtiendo en un riesgo serio de seguridad.
Adopción y riesgos
Esto es evidente en el reciente informe de ciberseguridad, que señala que los asistentes de programación de IA son ahora utilizados por más del 80 por ciento de las empresas de Fortune 500. La adopción es rápida, pero los marcos claros y las medidas de seguridad específicas están quedando atrás en muchos casos.
Se menciona una creciente brecha entre la innovación y la seguridad. Mientras los agentes de IA se están difundiendo rápidamente dentro de las organizaciones, menos de la mitad de las empresas tienen controles de seguridad específicos para la IA generativa. Al mismo tiempo, el 29 por ciento de los empleados utiliza agentes de IA no aprobados para trabajar, lo que crea una nueva forma de TI en la sombra, conocida como IA en la sombra.
Definición de IA en la sombra
La IA en la sombra se refiere al uso de aplicaciones de IA sin el conocimiento o la aprobación del departamento de TI o de seguridad. Los empleados utilizan herramientas externas o agentes autónomos para realizar tareas más rápidamente. Lo que comienza como una mejora en la eficiencia puede resultar en un punto ciego estructural en la seguridad.
Importancia de una buena gobernanza
Un riesgo importante radica en la velocidad con la que se implementan los agentes de IA. La rápida implementación puede socavar los controles de seguridad y cumplimiento existentes. Cuando las organizaciones no dedican suficiente tiempo a establecer gobernanza, aumenta el riesgo de que los agentes reciban demasiada autoridad o acceso a información sensible sin la supervisión adecuada.
Los riesgos no son puramente teóricos. Se ha identificado una campaña de fraude en la que los atacantes utilizaron una técnica conocida como envenenamiento de memoria. Esto implica manipular deliberadamente la memoria de los asistentes de IA, influyendo estructuralmente en los resultados. Esto subraya que los sistemas de IA mismos pueden convertirse en un vector de ataque si no están adecuadamente protegidos.
Agentes sobreprivilegiados
Al igual que las cuentas humanas, los agentes de IA pueden tener amplios derechos de acceso a múltiples fuentes de datos y aplicaciones. Si un agente es comprometido o desviado, puede provocar filtraciones de datos a gran escala o abuso. Se advierte que un agente con demasiado acceso o instrucciones incorrectas puede convertirse en un agente doble digital.
Recomendaciones para mitigar riesgos
Para mitigar estos riesgos, se aboga por un enfoque de confianza cero hacia los agentes de IA. Cada agente debe ser verificado explícitamente, los derechos de acceso deben limitarse estrictamente a lo necesario y las actividades deben ser monitoreadas continuamente. Además, se recomienda mantener un registro central que documente qué agentes de IA están activos dentro de la organización, quién los posee y a qué datos tienen acceso. Los agentes no autorizados deben ser rastreados e aislados activamente.
Conclusión
El auge de la IA dentro de las organizaciones parece irreversible. El desafío no radica en detener la innovación, sino en introducirla de manera controlada. Sin una gobernanza clara, transparencia y medidas de seguridad adecuadas, la IA en la sombra amenaza con convertirse en un riesgo estructural y difícil de gestionar dentro del entorno de TI moderno.
