El estudio Global Digital Trust Insights de PwC es la encuesta anual sobre tendencias en ciberseguridad. De hecho, se consolida como la investigación más amplia dentro de la industria de la ciberseguridad, reflejando las opiniones de más de 3.800 altos ejecutivos de seguridad, tecnología y negocios.
Actualmente, la reinvención e innovación que las empresas están llevando a cabo se centran en la creación de experiencias digitales más conectadas, implementando herramientas tecnológicas más recientes. Por eso, la ciberseguridad surge como un elemento central.
De acuerdo con los resultados de la encuesta Global Digital Trust Insights 2024, un significativo 69 % de los altos ejecutivos afirman que en los próximos 12 meses sus organizaciones incorporarán la IA generativa para fortalecer sus estrategias de ciberdefensa.
Sin embargo, existe la posibilidad de un aumento en las amenazas cibernéticas, ya que la IA generativa puede facilitar la creación de tácticas avanzadas y a gran escala a través del correo electrónico empresarial. Este aspecto cobra relevancia al considerar que el 52 % de los directores de seguridad de la información expresan la expectativa de que la IA generativa conduzca a ciberataques catastróficos en el próximo año.
Ante este panorama, se destaca la importancia de que las empresas establezcan una gobernanza sólida en el ámbito de la IA y anticipen los riesgos que podrían surgir a raíz de la implementación de la IA generativa. Resulta llamativo que el 63 % de los altos ejecutivos manifieste sentirse personalmente cómodo utilizando esta herramienta incluso en ausencia de políticas formales de gobernanza de datos. Este hallazgo subraya la necesidad de una atención inmediata a la regulación y supervisión de la IA para mitigar posibles consecuencias no deseadas.
Te puede interesar: Gestión de los riesgos de la IA generativa
La IA generativa está traspasando fronteras.Casi siete de cada diez ejecutivos indican que sus organizaciones planean incorporar la IA generativa en sus estrategias de ciberdefensa. Las plataformas no solo están concediendo licencias para sus modelos de lenguajes amplios (LLM, por sus siglas en inglés), sino que también integran soluciones tecnológicas cibernéticas. Por ejemplo, Microsoft Security Copilot tiene como objetivo ofrecer funciones GenAI para la gestión y respuesta a incidentes como para la generación de informes de seguridad. Google, por su parte, ha anunciado Security AI Workbench con aplicaciones similares. Y diversos proveedores de seguridad, como Crowdstrike y Zscaler, han comunicado la incorporación de funciones basadas en GenAI en sus ofertas. Incluso sin depender exclusivamente de las herramientas de estos proveedores, algunas empresas ya están utilizando GenAI para identificar y clasificar intentos de phishing.
de los altos ejecutivos afirman que utilizarán IA generativa para la ciberdefensa en los próximos 12 meses.
de los altos ejecutivos ya utiliza la IA generativa para la detección y mitigación de los riesgos cibernéticos.
de las empresas están viendo,unos meses después, beneficios en sus programas cibernéticos gracias a la IA generativa.
Para la defensa. Hace tiempo que las organizaciones se ven desbordadas por el número y la complejidad de los ciberataques dirigidos por humanos, que no dejan de aumentar. Y la IA generativa está facilitando la mitigación de los ciberataques complejos a gran escala. Los investigadores descubrieron un aumento del 135 % en los nuevos ataques de ingeniería social en sólo un mes, de enero a febrero de 2023. Servicios como WormGPT y FraudGPT están permitiendo el phishing de credenciales y el acceso al correo electrónico empresarial altamente personalizado.
Asegurar la innovación. Las empresas que aspiran capitalizar las numerosas ventajas potenciales de la IA generativa para desarrollar nuevas líneas de negocio y aumentar la productividad de los colaboradores se enfrentan a riesgos significativos en ámbitos clave como la privacidad, la ciberseguridad, el cumplimiento normativo, las relaciones con terceros, las obligaciones legales y la propiedad intelectual. En consecuencia, para aprovechar al máximo esta tecnología innovadora, las organizaciones deben abordar de manera integral la amplia gama de riesgos que plantea, teniendo en cuenta sus actividades empresariales.
Te puede interesar: Con ciberseguridad, hay resiliencia
La AI generativa puede desempeñar un papel crucial en la defensa a lo largo de toda la cadena del ciberataque. A continuación, se destacan las tres áreas más prometedoras.
La IA generativa puede anticipar vulnerabilidades, evaluar de manera ágil su alcance al identificar el riesgo y los daños ocasionados y ofrecer alternativas para la defensa y la remediación. Además, puede detectar patrones, anomalías e indicadores que afecten los sistemas tradicionales basados en firmas.
Adicionalmente, la IA generativa puede sintetizar datos extensos provenientes de incidentes cibernéticos, recopilados de diversos sistemas y fuentes, para brindar a los equipos una comprensión integral de los eventos.También presenta amenazas complejas en un lenguaje accesible, ofrece orientación sobre estrategias de mitigación y colabora en búsquedas e investigaciones.
La IA generativa es una herramienta prometedora para simplificar considerablemente la notificación de incidentes y riesgos cibernéticos, una capacidad en la que los proveedores ya están trabajando activamente. Mediante el uso del procesamiento del lenguaje natural (NLP, por sus siglas en inglés), tiene la capacidad de transformar datos técnicos en contenido conciso, comprensible para aquellos sin conocimientos técnicos. Su utilidad se extiende a informes de respuesta a incidentes, inteligencia sobre amenazas, evaluaciones de riesgos, auditorías y cumplimiento normativo. Además, puede presentar recomendaciones de manera accesible, incluso traduciendo gráficos complejos a un texto sencillo.
Su capacidad de generación de informes, se vuelven invaluables en esta nueva era de mayor transparencia cibernética. Contar con una herramienta que simplifique significativamente la preparación de estos informes resultaría invaluable en un contexto normativo en evolución.
Garantizar la seguridad de la nube y la cadena de suministro de software implica la necesidad constante de actualizar políticas y controles de seguridad, una tarea compleja en la actualidad. La próxima evolución podría residir en la capacidad de los algoritmos de aprendizaje automático y las herramientas de la IA generativa para recomendar, evaluar y redactar políticas de seguridad adaptadas al perfil de amenazas, las tecnologías y los objetivos comerciales de una organización. Estas herramientas, asimismo, podrían verificar y confirmar que las políticas abarcan de manera integral todo el entorno de tecnologías de la información.
En un entorno de confianza cero, la IA generativa podría automatizar la evaluación y asignación continua de puntuaciones de riesgo, así como revisar solicitudes y permisos de acceso. Un enfoque adaptable, impulsado por herramientas de IA generativa, se presenta como una estrategia para que las organizaciones respondan de manera más efectiva a las amenazas en constante evolución, fortaleciendo su seguridad de manera constante.
Numerosos proveedores están desafiando los límites de la IA generativa, explorando las posibilidades que ofrece. A medida que esta tecnología evolucione y madure, se vislumbrarán una multiplicidad de aplicaciones adicionales en el ámbito de la ciberdefensa. No obstante, es probable que transcurra algún tiempo antes de que presenciemos la implementación a gran escala de iniciativas como "defenceGPT".
La IA generativa podría ofrecer un alivio significativo a la aguda escasez de talento en ciberseguridad. Según la encuesta Global Digital Trust Insights 2023 de PwC, el desgaste se ha convertido en un desafío creciente para el 39 % de los directores de seguridad y de información, obstaculizando el avance en los objetivos cibernéticos un 15 %.
Una vez que la IA generativa libere a los profesionales de seguridad de tareas rutinarias y monótonas, como la detección y el análisis, podrán enfocarse en comprender, más allá de simplemente conocer, las causas de las infracciones y la mejor manera de responder a ellas. Esto le permitirá a las organizaciones tomar decisiones rápidas y actuar con celeridad.
El uso de IA generativa para la ciberdefensa, así como su implementación en toda la empresa, se verá inevitablemente influenciado por regulaciones, especialmente en lo que respecta a temas como el sesgo, la discriminación, la desinformación y los usos éticamente cuestionables. De hecho, directivas, como el Proyecto de Declaración de Derechos de la IA de la Casa Blanca y el proyecto de Ley de IA de la Unión Europea, ponen un fuerte énfasis en la IA ética. Los responsables de políticas a nivel global están trabajando arduamente para establecer límites y aumentar la rendición de cuentas, reconociendo la urgencia debido al impacto de la IA generativa en diversos sectores de la sociedad.
Las empresas visionarias buscarán adelantarse a las regulaciones de IA. Los encuestados están plenamente conscientes de su inminencia porque afirman que este tipo de normativas, más que cualquier otra consideración, podrían tener un impacto significativo en el crecimiento futuro de sus ingresos.
De aquellos encuestados que anticipan la regulación de la IA, un 37 % prevé costos de cumplimiento significativos. Sin embargo, alrededor del 40 % indica que necesitarán realizar cambios sustanciales en sus operaciones comerciales para cumplir con estas regulaciones.
Fuente: Global Digital Trust Insights 2024, PwC
En un contexto de incertidumbre regulatoria, las empresas tienen bajo su control una variable: la manera en que implementan la IA generativa de forma responsable en sus entornos, permitiéndoles así estar preparadas para el cumplimiento normativo.
El entusiasmo por la IA es tan elevado que un 63 % de los ejecutivos encuestados indicaron que se sentirían cómodos implementando herramientas de IA generativa en el entorno laboral incluso sin controles internos para la calidad y la gobernanza de los datos. Sorprendentemente, el 74 % de los altos ejecutivos del ámbito empresarial se muestran aún más inclinados a adoptar esta tecnología que los ejecutivos de tecnología y seguridad.
No obstante, la adopción de herramientas de IA generativa sin un marco de gobernanza expone a las organizaciones a riesgos significativos, especialmente en lo que respecta a la privacidad. ¿Qué sucedería si alguien incorpora información exclusiva en un mensaje de IA generativa? Además, la falta de capacitación sobre cómo evaluar adecuadamente los resultados podría llevar a que las recomendaciones se basen en datos inventados o indicaciones sesgadas.
Es crucial que los colaboradores estén alerta ante los riesgos, identificados por la Open Source Foundation for Application Security (OWASP) como el principal riesgo de seguridad relacionado con el uso de Modelos de Lenguajes Amplios. Por ejemplo, los jailbreak son avisos diseñados para provocar respuestas no deseadas por parte de los LLM al sobrescribir en ellos o manipular entradas de fuentes externas.
El punto de partida con la IA generativa, al igual que con casi cualquier tecnología, radica en establecer las bases para la confianza en su diseño, funcionamiento y resultados. Aunque la gobernanza es fundamental, resulta especialmente crucial centrarse en la gobernanza de datos y las preocupaciones de seguridad. En términos generales, la mayoría de los encuestados expresan su intención de utilizarla de manera ética y responsable, ya que el 77 % está de acuerdo con esta afirmación.
Fuente: Global Digital Trust Insights 2024, PwC
La IA generativa tiene la capacidad de sintetizar rápidamente información de diversas fuentes para facilitar la toma de decisiones humanas. Según informes, el 74 % de las infracciones involucran a seres humanos, por eso la gobernanza de la IA para la defensa debe incorporar un componente humano.
Las empresas serían sabias al adoptar un conjunto de herramientas de IA responsable para orientar el uso ético y confiable de esta tecnología en la organización. No obstante, la intervención humana es esencial para lograr los usos más elevados e ideales de la IA.
En última instancia, la promesa de la IA generativa recae en las personas. Todo usuario puede y debe asumir el papel de administrador de la confianza. Por lo tanto, es crucial invertir en su capacitación para comprender los riesgos asociados con el uso de esta tecnología y fomentar la evaluación crítica de los resultados de la IA generativa en función de las barreras de riesgo específicas de la empresa. Asimismo, reunir a los profesionales de la seguridad para que sigan los principios de la IA responsable contribuirá a un uso más seguro y ético.
Te puede interesar: La Inteligencia Artificial: aliando en la productividad de los empleados
Este artículo está basado en el artículo “GenAI for cyber defence is on the rise” de PwC Global. Esta versión es organizada y revisada por PwC Colombia.