La Inteligencia Artificial, nueva amenaza en el ámbito de la ciberseguridad

El 16 de marzo tuvo lugar en Barcelona el IV Foro Regional de ISMS Forum. El evento contó con un ciclo de conferencias en los que se trataron los temas más candentes relacionados con la ciberseguridad. Uno de los que se debatió fue el rápido avance de la tecnología relacionada con la Inteligencia Artificial y como, este progreso la convierte en una amenaza en el ámbito de la ciberseguridad.

Eduardo González, global head of Cybersecurity de Banco Sabadell, Emmanuel Roeseler, director strategic accounts EMEA de Devo, Martín de Riquer, CISO de Médicos sin Fronteras, y Ricard Flores, CISO de Wallbox, moderados por Antonio Fontiveros, Information Security Manager de Abertis, debatieron como la Inteligencia Artificial ha sacudido el sector de la ciberseguridad, tanto para abrir nuevos caminos en la seguridad como para poner sobre la mesa nuevas amenazas.

El debate dio comienzo planteando la fiabilidad de la tecnología de Inteligencia Artificial y la confianza plena en ella, en substitución de los procesos actuales y no como un complemento. Eduardo González, global head of Cybersecurity de Banco Sabadell, planteo la necesidad de limitar la privacidad de los datos que puede exponer la Inteligencia Artificial y apuntó que “como sociedad no estamos preparados para el porcentaje de error que presenta la IA”. Por su parte, Emmanuel Roeseler, director strategic accounts EMEA de Devo, se mostró partidario de priorizar los sistemas de IA en el ámbito de la ciberseguridad, pero teniendo siempre en cuenta los riegos que suponen. No se puede trasladar las herramientas de IA que emplean los trabajadores en su vida privada para el ámbito laboral si estas antes no han estado validadas para el uso profesional. Martín de Riquer, CISO de Médicos sin Fronteras, destacó la relevancia que ha adquirido la Inteligencia Artificial para su organización, puesto que ha servido como complemento para crear algoritmos que previamente los técnicos habían generado. En el caso de los vehículos eléctricos y conectados, Ricard Flores, CISO de Wallbox, expuso que, si bien la inteligencia artificial supone una optimización para la gestión de la energía, esta se vuelve una amenaza cuando la interacción es con el conductor porque puede ser atacado y engañar a la persona o hacer que pierda el control del vehículo. Los permisos que se conceden a las APPS, en muchos casos sin apenas leer las condiciones, Flores los define “como un lobo disfrazado de oveja” ya qué puede convertirse en una puerta de entrada para los ciberatacantes.

Todos los ponentes destacaron el hecho que el avance de la Inteligencia Artificial es mucho más rápido que la adecuación de las normativas que afectan a esta tecnología.

Este hecho implica que las empresas deben avanzarse y prever, en la medida de lo posible, como va a afectar la normativa a cada una de las áreas. La Unión Europea está trabajando en un reglamento para el uso de la IA en las empresas. Esta nueva normativa establecerá tres niveles de riesgos y multas para las organizaciones que incumplan con la orden decretada. Además, se está valorando en prohibir el uso de la IA en los casos en los que entra en conflicto y afecta a los derechos humanos, como puede ser la privacidad del individuo o su libertad. Empresas como Banco Sabadell, cada vez que inician un proyecto que va ligado a la Inteligencia Artificial, ya crea un entorno colaborativo para analizar que riesgos cibernéticos pueden darse en cada una de las áreas de la entidad. Eduardo González, global head of Cybersecurity de Banco Sabadell, remarcó que los entornos cloud con los que trabajan cuentan con sistemas machine learning que estudian como aplicar la IA de forma adecuada al proyecto con el que se está trabajando.

La inclusión de nuevas herramientas, como la IA, en el entorno laboral despiertan reticencias en un principio, todos los integrantes del debate coincidieron en qué este mismo hecho se dio cuando se integró los sistemas cloud en el ámbito empresarial. La IA se vuelve interesante para las empresas desde un punto de vista defensivo. Al fin y al cabo, las empresas tienen unos recursos limitados y esta nueva tecnología les ayuda a complementar la defensa cibernética. Aun así, hay que calibrar los escenarios de fallos posibles para esta tecnología, que algunas veces puede implicar un problema incluso físico en el ámbito offline.

Tal como remarcó Emmanuel Roeseler, director strategic accounts EMEA de Devo, “para los malos no hay regulación. Se pueden equivocar mil veces, solo tienen que acertar una vez y lograran su objetivo. Por ello, puesto que el uso de la IA es algo inevitable, aunque es bueno que exista un marco regulatorio, también tiene que haber por parte del ámbito de la ciberseguridad una formación de cómo usar esta tecnología correctamente y con seguridad.

Trasladando la normativa al ámbito internacional, en el debate se planteó la cuestión ¿Qué va a pasar con las empresas internacionales que operen en diversos ámbitos y esos no tengan la misma legislación que la UE? ¿Qué ventajas pueden tener las empresas que no se rijan por la normativa europea? Todos los ponentes coincidieron en que es una cuestión preocupante a tener en cuenta. En el caso de Médicos Sin Fronteras, Martín de Riquer el CISO de la empresa destacó que se ve con preocupación “estamos sujetos a múltiples regulaciones porque operamos en diversos países. Vamos a tener muchos problemas por la falta de principios comunes entre países de las normativas”.

Si bien en el aspecto de la privacidad hay un principio común global, en el campo de la IA habrá que crear un manual de conducta, ya que la Unión Europea y China tienen visiones diferentes de cómo tratar y donde poner el límite a esta tecnología, y vuelve complicado crear este manual. Por otra parte, el reglamento americano va más ligado a la relación negocio – consumidor. Estos puntos de vista diferentes según la zona geográfica hacen que sea muy complicado para las organizaciones crear un marco global interno que englobe a todas las normativas.

En el caso de Devo, Roeseler declaró que para aplicar la normativa se basaran en donde están alojados los datos. Eduardo González, global head of Cybersecurity de Banco Sabadell, coincidió en que “las organizaciones internacionales tendrán que mirar las regulaciones locales de donde reside el dato”.

Desde un punto de vista de la ciberseguridad es importante conocer qué vías pueden ser propensas a un ataque. Uno de los peligros más notables es la suplantación de identidad, como por ejemplo el Deep voice (suplantación de voz). Se trata de tecnologías tan perfeccionadas que es un problema poder identificar si es la voz real o no. Los delincuentes emplean la suplantación por voz para obtener dinero. Todos los integrantes del debate coincidieron en que hay que realizar una labor de concienciación tanto a empleados como clientes, y en el caso de la banca, remarcar que nunca se van a pedir datos confidenciales por vía telefónica. Por otro lado, existen motores antifraude para combatir la IA maliciosa.

Otro ejemplo de acción de ataque se da en el caso de los vehículos conectados, ya se ha dado un ciberataque a un motor con machine learning, lo que una persona interpretaba como una señal de STOP la máquina pasó a valorarlo como una señal de velocidad y a consecuencia el vehículo no frenó.

Herramientas novedosas como la que ha lanzado Google, que resume al usuario los aspectos importantes de un hilo de correo electrónico, abren la puerta a ataques de phishing.

El debate finalizó con un planteamiento a tener en cuenta, si bien los marcos regulatorios relacionados con la inteligencia artificial tienen excepciones en el ámbito de defensa, por tanto, estas excepciones se tendrían que trasladar también a la defensa cibernética. Los ponentes hicieron énfasis en que se tiene la perspectiva que la defensa armada juega en una liga y la cibernética en otra, que se cree inferior, cuando no es así, son paralelas.