Las empresas deben asegurar su uso de IA, independientemente de la regulación
La regulación de la IA está muy atrasada respecto a su adopción. Más de tres cuartas partes de las empresas de servicios financieros del Reino Unido ya están utilizando esta tecnología en casos de uso tan diversos como el servicio al cliente y la detección de fraudes.
Sin embargo, junto a las grandes ganancias potenciales, también surgen nuevos riesgos. Aunque es alentador ver que se proporciona un escrutinio necesario en esta área, el último informe es decepcionante. Algunas recomendaciones son sensatas, pero carecen de un alcance adecuado. Al no abordar la próxima ola de riesgos de IA que ya están surgiendo en el sector, representa una oportunidad perdida para construir conciencia y mejorar la resiliencia cibernética.
Primeros pasos hacia la regulación
No todo son malas noticias. El comité señala acertadamente que la IA puede ser utilizada por adversarios para hacer que las campañas de fraude sean más efectivas y aumentar el volumen y la escala de los ciberataques contra el sector de servicios financieros. También argumenta que el enfoque de «esperar y ver» de los reguladores está exponiendo a los consumidores y al sistema financiero a daños potencialmente serios.
Es correcto sugerir que la falta de claridad de los reguladores amenaza con dejar a los consumidores vulnerables a la «toma de decisiones opaca», posibles sesgos y un creciente riesgo de exclusión financiera. Las solicitudes de una guía más clara, pruebas de estrés específicas de IA y la rápida designación de proveedores de IA/nube como terceros críticos son todas razonables.
La brecha de seguridad
El problema radica en lo que no se dice. La IA representa una superficie de ataque corporativa potencialmente enorme para los actores de amenazas. Los investigadores han demostrado una y otra vez cómo existen vulnerabilidades en todo el ecosistema que pueden ser explotadas para robar datos sensibles, interrumpir servicios críticos y extorsionar a las empresas.
Estos problemas se multiplican con la aparición de sistemas autónomos que pueden trabajar de manera independiente. Dado que hay poca supervisión humana, los hackers podrían atacar y subvertir un agente sin activar alarmas, llevando a cabo acciones con consecuencias irreversibles.
Además, dado que los agentes se integran con herramientas y fuentes de datos externas, hay más oportunidades para manipularlos. Si un atacante altera una herramienta de la que depende un agente, o inyecta información falsa en su memoria, el agente puede comenzar a tomar decisiones inseguras, como aprobar transacciones fraudulentas o proporcionar evaluaciones de riesgo incorrectas.
Riesgos en la cadena de suministro
El riesgo también proviene de una vasta cadena de suministro de IA oculta que abarca varios componentes de terceros, como bibliotecas de código abierto, complementos, APIs y plataformas de modelos alojados. Esto también proporciona oportunidades para que adversarios motivados planten puertas traseras que pueden ser activadas cuando un sistema esté en funcionamiento y haya sido adoptado por una organización de servicios financieros.
Algunos componentes ni siquiera requieren autenticación para acceder, lo que facilita el trabajo de los actores de amenazas. Los marcos de código abierto se actualizan varias veces al día, haciendo más probable que introduzcan nuevas vulnerabilidades que los equipos de seguridad de TI deben encontrar y corregir. Incluso errores honestos en componentes de terceros, como configuraciones incorrectas, pueden crear riesgos directos de seguridad y cumplimiento.
Comenzar con la gobernanza
En ausencia de mandatos regulatorios claros, ¿cómo pueden las empresas de servicios financieros mitigar estos crecientes riesgos de IA? Cualquier esfuerzo debe comenzar con la gobernanza. Muchas empresas están implementando la tecnología tan rápido que apenas comprenden cuán profundamente la IA está accediendo y utilizando datos sensibles.
El uso no gestionado de IA sigue siendo un desafío importante; uno que añade costos significativos a las violaciones de datos. Un estudio reciente revela que un porcentaje considerable de organizaciones globales sufrió una violación el año pasado debido a un incidente de seguridad relacionado con el uso no gestionado de IA.
Establecer políticas claras para la adopción de IA, imponer controles estrictos de identidad y acceso, y monitorear todas las interacciones de IA ayudarán a reducir la posibilidad de uso indebido de modelos o filtraciones de datos.
A continuación, se debe abordar la cadena de suministro. Escanear componentes de IA, incluyendo APIs y bibliotecas de código abierto, en busca de vulnerabilidades y configuraciones incorrectas es esencial. Agregar controles de seguridad automatizados y monitorear continuamente los puntos expuestos ayudará a prevenir manipulaciones y accesos no autorizados.
Para las empresas de servicios financieros que construyen sus propios servicios de IA, la «seguridad por diseño» debería ser la dirección a seguir. Esto significa garantizar que los modelos, almacenes de datos y flujos de trabajo de implementación sean monitoreados en tiempo real para detectar posibles compromisos y desviaciones de sus configuraciones originales.
Las vulnerabilidades emergen rápidamente en estos entornos, por lo que la evaluación continua de la postura de seguridad y la rápida remediación basada en riesgos también son esenciales. Para las empresas de servicios financieros, estos no son desafíos teóricos. El riesgo es real y proviene tanto de actores motivados financieramente como de actores estatales. Si el sector desea cosechar las recompensas de la IA, primero debe asegurarla, independientemente de si la regulación ya existe o no.
