La utilización de herramientas de Inteligencia Artificial (IA) en las empresas permite optimizar procesos y agilizar tareas, facilita el análisis de datos avanzado, fomenta la personalización de experiencias para clientes y la predicción y pronóstico, y mejora de la toma de decisiones. Por todo esto, su uso juega un papel cada vez más importante en las organizaciones. No obstante, la IA lleva asociados riesgos digitales que deben ser identificados por los profesionales de la gestión de riesgos. De no hacerlo, esto tendría graves implicaciones económicas que van más allá de los costes, afectando la rentabilidad, la competitividad y la viabilidad a largo plazo de las empresas.
Un tercio de las empresas españolas parece no ser conscientes de ello, ya que según el informe ‘El estado actual de la ciberseguridad en España 2024’, elaborado por Deloitte, el 69% de las compañías no cuenta con un enfoque reactivo hacia las amenazas derivadas de la IA, sin contar con una estrategia clara de integración.
“Una de las principales tendencias es el uso cada vez más sofisticado de la IA en ataques de ingeniería social, lo que hace que el phishing sea más personalizado y difícil de detectar. Además, la generación de contenido falso mediante IA está socavando la confianza en la información en línea y facilitando la propagación de desinformación”, explica Sergi Simón, coordinador del Área de Riesgos de EALDE Business School.
Sergi Simón sostiene que “los ataques de envenenamiento de datos también representan un riesgo importante, ya que pueden comprometer la integridad y la efectividad de los modelos de IA, especialmente en áreas donde se toman decisiones automatizadas”. Los ataques de envenenamiento de datos son una táctica empleada por los ciberdelincuentes para manipular los datos utilizados por sistemas de inteligencia artificial o aprendizaje automático.
Por su parte, Roberto Castro, profesor del Máster en Gestión de Riesgos de la escuela de negocios, añade que “el riesgo más apremiante es la generación automática de malware porque permite aprovechar las vulnerabilidades de un sistema para poder controlarlo y bloquearlo para pedir un rescate”.
Al respecto, Sergi Simón apunta que “la combinación de la creciente sofisticación de los ataques basados en IA y la dependencia cada vez mayor de la IA en una variedad de sectores es un desafío crítico para la seguridad cibernética en la actualidad. Protegerse contra estos ataques y mitigar sus riesgos asociados son prioridades clave para cualquier organización que busque mantenerse segura en un entorno digital cada vez más complejo y dinámico”.
ESTRATEGIAS DE LAS EMPRESAS PARA MITIGAR LOS RIESGOS ASOCIADOS A LA IA
Los mayores desafíos que enfrentan las organizaciones en la actualidad en términos de protección contra estos riesgos emergentes incluyen la necesidad de adaptarse rápidamente a la evolución de las tácticas de ataque basadas en inteligencia artificial, fortalecer la detección de amenazas sofisticadas y asegurar la integridad de los datos utilizados en sistemas de IA. Para mitigar los riesgos de IA en ciberseguridad, Sergi Simón apunta que “las organizaciones deberían implementar medidas como la evaluación continua de vulnerabilidades, la capacitación del personal en ciberseguridad y la implementación de soluciones de defensa avanzadas”.
Por otro lado, no hay que olvidar que la colaboración entre el sector público y privado es esencial para compartir información sobre amenazas y desarrollar estrategias conjuntas de defensa. En este sentido, Roberto Castro señala que “la colaboración entre los sectores público y privado es fundamental para combatir las amenazas cibernéticas. El sector público puede proporcionar regulaciones, orientación y recursos, mientras que el sector privado puede aportar experiencia técnica y conocimientos de mercado”. Un ejemplo de ello es que CaixaBank se ha unido a dos proyectos financiados por la Comisión Europea bajo el programa ‘Digital Europe’ para mejorar sus capacidades de detección y respuesta ante amenazas.
CÓMO SERÁ LA INTERACCIÓN ENTRE LA IA Y LA CIBERSEGURIDAD EN LOS PRÓXIMOS AÑOS
Mirando hacia el futuro, el coordinador del Área de Riesgos de EALDE Business School anticipa “una evolución significativa en los ciberriesgos y la interacción entre la inteligencia artificial y la ciberseguridad, especialmente con la llegada de la computación cuántica”. Para este experto, con la computación cuántica, surgirán nuevos desafíos y oportunidades en la seguridad cibernética: “Los algoritmos de cifrado convencionales podrían verse comprometidos, aumentando la necesidad de desarrollar métodos de protección cibernética cuánticamente seguros”.
Además, para Sergi Simón, “la IA seguirá desempeñando un papel crucial en la detección y prevención de ataques, pero también podría ser utilizada por los adversarios para desarrollar ataques más sofisticados y difíciles de detectar”.
En este sentido, Roberto Castro sostiene que “con el avance de la tecnología, los ciberataques se volverán más sofisticados y difíciles de detectar. Los hackers se aprovecharán de la IA para automatizar y mejorar sus ataques, utilizando técnicas como el aprendizaje automático para adaptarse a las defensas de seguridad; mientras que aumentarán los riesgos sobre la privacidad, debido al entrenamiento cada vez mayor de las herramientas de IA”.
PRINCIPIOS ÉTICOS Y PRIVACIDAD DE LOS USUARIOS
En el contexto del creciente uso de inteligencia artificial en ciberseguridad, es esencial priorizar los principios éticos y proteger la privacidad de los usuarios. Para lograr esto, Sergi Simón afirma que “debemos asegurarnos de que los sistemas de IA sean transparentes en su funcionamiento, con usuarios que comprendan cómo se utilizan sus datos y cómo se toman las decisiones”.
Además, el coordinador del Área de Riesgos de EALDE Business School apunta que “se debe mitigar los sesgos en los datos y garantizar la seguridad de los datos para proteger la privacidad y la confidencialidad de la información de los usuarios”. En este sentido, la colaboración entre desarrolladores, reguladores y expertos en ética y privacidad es fundamental para garantizar que la ética y la protección de la privacidad sean consideraciones centrales en el desarrollo y despliegue de tecnologías de ciberseguridad basadas en IA.