{"id":824438,"date":"2023-06-26T12:59:37","date_gmt":"2023-06-26T12:59:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/como-la-ia-generativa-puede-enganar-a-los-protocolos-de-autenticacion-de-saas-y-formas-efectivas-de-prevenir-otros-riesgos-clave-de-ia-en-saas\/"},"modified":"2023-06-26T12:59:40","modified_gmt":"2023-06-26T12:59:40","slug":"como-la-ia-generativa-puede-enganar-a-los-protocolos-de-autenticacion-de-saas-y-formas-efectivas-de-prevenir-otros-riesgos-clave-de-ia-en-saas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/como-la-ia-generativa-puede-enganar-a-los-protocolos-de-autenticacion-de-saas-y-formas-efectivas-de-prevenir-otros-riesgos-clave-de-ia-en-saas\/","title":{"rendered":"C\u00f3mo la IA generativa puede enga\u00f1ar a los protocolos de autenticaci\u00f3n de SaaS y formas efectivas de prevenir otros riesgos clave de IA en SaaS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los equipos de seguridad y TI se ven obligados a adoptar software antes de comprender completamente los riesgos de seguridad.  Y las herramientas de IA no son una excepci\u00f3n.<\/p>\n<p>Tanto los empleados como los l\u00edderes empresariales acuden en masa al software de inteligencia artificial generativa y programas similares, a menudo sin darse cuenta de las principales vulnerabilidades de seguridad de SaaS que est\u00e1n introduciendo en la empresa.  A febrero de 2023 <a rel=\"nofollow noopener\" href=\"https:\/\/www.resumebuilder.com\/1-in-4-companies-have-already-replaced-workers-with-chatgpt\/\" target=\"_blank\">encuesta generativa de IA a 1000 ejecutivos<\/a> revel\u00f3 que el 49 % de los encuestados usa ChatGPT ahora, y el 30 % planea aprovechar pronto la omnipresente herramienta de IA generativa.  El noventa y nueve por ciento de los que usan ChatGPT afirmaron haber logrado alg\u00fan tipo de ahorro de costos, y el 25 % afirm\u00f3 haber reducido los gastos en $75 000 o m\u00e1s.  Como los investigadores realizaron esta encuesta apenas tres meses despu\u00e9s de la disponibilidad general de ChatGPT, el uso actual de ChatGPT y herramientas de inteligencia artificial es sin duda mayor. <\/p>\n<p>Los equipos de seguridad y riesgo ya est\u00e1n abrumados por la protecci\u00f3n de su patrimonio SaaS (que ahora se ha convertido en el sistema operativo de la empresa) de vulnerabilidades comunes, como configuraciones incorrectas y usuarios con permisos excesivos.  Esto deja poco ancho de banda para evaluar el panorama de amenazas de herramientas de IA, las herramientas de IA no autorizadas actualmente en uso y las implicaciones para la seguridad de SaaS. <\/p>\n<p>Con las amenazas que surgen fuera y dentro de las organizaciones, los CISO y sus equipos deben comprender los riesgos de las herramientas de IA m\u00e1s relevantes para los sistemas SaaS y c\u00f3mo mitigarlos.<\/p>\n<h3 style=\"text-align: left;\">1. Los actores de amenazas pueden explotar la IA generativa para enga\u00f1ar a los protocolos de autenticaci\u00f3n de SaaS <\/h3>\n<p>A medida que los empleados ambiciosos idean formas para que las herramientas de inteligencia artificial los ayuden a lograr m\u00e1s con menos, tambi\u00e9n lo hacen los ciberdelincuentes.  El uso de IA generativa con intenciones maliciosas es simplemente inevitable y ya es posible.<\/p>\n<p>La capacidad de AI para hacerse pasar por humanos extremadamente bien hace que los protocolos de autenticaci\u00f3n SaaS d\u00e9biles sean especialmente vulnerables a la pirater\u00eda.  De acuerdo a <em>Techopedia<\/em>, los actores de amenazas pueden hacer un mal uso de la IA generativa para adivinar contrase\u00f1as, descifrar CAPTCHA y crear malware m\u00e1s potente.  Si bien estos m\u00e9todos pueden sonar limitados en su rango de ataque, el <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/article\/unpacking-preventing-circleci-data-breach\/?utm_campaign=Hacker%20News%20FY24&amp;utm_source=hacker-news\" target=\"_blank\"><strong>Enero de 2023 Violaci\u00f3n de seguridad de CircleCI<\/strong><\/a>  se atribuy\u00f3 a que la computadora port\u00e1til de un solo ingeniero se infect\u00f3 con malware. <\/p>\n<p>Del mismo modo, tres destacados acad\u00e9micos de tecnolog\u00eda plantearon recientemente una hip\u00f3tesis plausible para la IA generativa que ejecuta un ataque de phishing: <\/p>\n<blockquote><p><em>&#8220;Un pirata inform\u00e1tico utiliza ChatGPT para generar un mensaje de phishing personalizado basado en los materiales de marketing de su empresa y los mensajes de phishing que han tenido \u00e9xito en el pasado. Logra enga\u00f1ar a las personas que han sido bien capacitadas en el conocimiento del correo electr\u00f3nico, porque no parece como los mensajes que han sido entrenados para detectar&#8221;.<\/em><\/p><\/blockquote>\n<p>Los actores maliciosos evitar\u00e1n el punto de entrada m\u00e1s fortificado, generalmente la plataforma SaaS en s\u00ed misma, y \u200b\u200ben su lugar apuntar\u00e1n a puertas laterales m\u00e1s vulnerables.  No se molestar\u00e1n con el cerrojo y el perro guardi\u00e1n situados junto a la puerta principal cuando pueden escabullirse hacia las puertas del patio abiertas.<\/p>\n<p>Confiar solo en la autenticaci\u00f3n para mantener seguros los datos de SaaS no es una opci\u00f3n viable.  M\u00e1s all\u00e1 de implementar la autenticaci\u00f3n multifactor (MFA) y las claves de seguridad f\u00edsicas, los equipos de seguridad y riesgo necesitan visibilidad y monitoreo continuo para todo el per\u00edmetro de SaaS, junto con alertas autom\u00e1ticas para actividades de inicio de sesi\u00f3n sospechosas. <\/p>\n<p>Estos conocimientos son necesarios no solo para las actividades de inteligencia artificial generativa de los ciberdelincuentes, sino tambi\u00e9n para las conexiones de herramientas de inteligencia artificial de los empleados a las plataformas SaaS.<\/p>\n<h3 style=\"text-align: left;\">2. Los empleados conectan herramientas de IA no autorizadas a plataformas SaaS sin tener en cuenta los riesgos <\/h3>\n<p>Los empleados ahora conf\u00edan en herramientas de inteligencia artificial no autorizadas para facilitar su trabajo.  Despu\u00e9s de todo, \u00bfqui\u00e9n quiere trabajar m\u00e1s duro cuando las herramientas de IA aumentan la eficacia y la eficiencia?  Como cualquier forma de <a rel=\"nofollow noopener\" href=\"https:\/\/www.securitymagazine.com\/articles\/98795-shadow-it-risk-a-dangerous-connection\" target=\"_blank\">TI en la sombra<\/a>la adopci\u00f3n de herramientas de IA por parte de los empleados est\u00e1 impulsada por las mejores intenciones. <\/p>\n<p>Por ejemplo, un empleado est\u00e1 convencido de que podr\u00eda administrar mejor su tiempo y sus tareas pendientes, pero el esfuerzo por monitorear y analizar su gesti\u00f3n de tareas y su participaci\u00f3n en las reuniones se siente como una gran empresa.  AI puede realizar ese monitoreo y an\u00e1lisis con facilidad y brindar recomendaciones casi al instante, brindando al empleado el impulso de productividad que anhela en una fracci\u00f3n del tiempo.  Registrarse en un asistente de programaci\u00f3n de IA, desde la perspectiva del usuario final, es tan simple y (aparentemente) inocuo como:<\/p>\n<ul>\n<li>Registrarse para una prueba gratuita o inscribirse con una tarjeta de cr\u00e9dito <\/li>\n<li>Aceptar las solicitudes de permiso de lectura\/escritura de la herramienta de IA<\/li>\n<li>Conexi\u00f3n del asistente de programaci\u00f3n de IA a sus cuentas corporativas de Gmail, Google Drive y Slack<\/li>\n<\/ul>\n<p>Este proceso, sin embargo, crea conductos invisibles a los datos m\u00e1s sensibles de una organizaci\u00f3n.  Estas conexiones de IA a SaaS heredan la configuraci\u00f3n de permisos del usuario, lo que permite que el pirata inform\u00e1tico que pueda comprometer con \u00e9xito la herramienta de IA se mueva de manera silenciosa y lateral a trav\u00e9s de los sistemas SaaS autorizados.  Un pirata inform\u00e1tico puede acceder y filtrar datos hasta que se detecte una actividad sospechosa y se act\u00fae en consecuencia, lo que puede variar de semanas a a\u00f1os. <\/p>\n<p>Las herramientas de IA, como la mayor\u00eda de las aplicaciones SaaS, usan <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/resources\/articles-and-whitepapers\/the-risks-of-oauth-tokens-and-third-party-apps-to-saas-security\/?utm_campaign=Hacker%20News%20FY24&amp;utm_source=hacker-news\" target=\"_blank\"><strong>Tokens de acceso OAuth para conexiones continuas a plataformas SaaS<\/strong><\/a>.  Una vez que se completa la autorizaci\u00f3n, el token para el asistente de programaci\u00f3n de IA mantendr\u00e1 una comunicaci\u00f3n consistente basada en API con las cuentas de Gmail, Google Drive y Slack, todo sin requerir que el usuario inicie sesi\u00f3n o se autentique en intervalos regulares.<em>. <\/em>El actor de amenazas que puede sacar provecho de este token OAuth se ha topado con el equivalente SaaS de claves de repuesto &#8220;ocultas&#8221; debajo del felpudo. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1687784377_187_Como-la-IA-generativa-puede-enganar-a-los-protocolos-de.jpg\" alt=\"herramienta de IA\" border=\"0\" data-original-height=\"653\" data-original-width=\"728\" title=\"herramienta de IA\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Figura 1: Una ilustraci\u00f3n de una herramienta de IA que establece una conexi\u00f3n de token OAuth con una importante plataforma SaaS.  Cr\u00e9dito: AppOmni<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Los equipos de seguridad y riesgo a menudo carecen de las herramientas de seguridad de SaaS para monitorear o controlar un riesgo de superficie de ataque de este tipo.  Las herramientas heredadas, como los agentes de seguridad de acceso a la nube (CASB) y las puertas de enlace web seguras (SWG), no detectar\u00e1n ni alertar\u00e1n sobre la conectividad de IA a SaaS.<\/p>\n<p>Sin embargo, estas conexiones de IA a SaaS no son el \u00fanico medio por el cual los empleados pueden exponer involuntariamente datos confidenciales al mundo exterior. <\/p>\n<h3 style=\"text-align: left;\">3. La informaci\u00f3n confidencial compartida con herramientas de IA generativa es susceptible a fugas<\/h3>\n<p>Los datos que los empleados env\u00edan a las herramientas de IA generativa, a menudo con el objetivo de acelerar el trabajo y mejorar su calidad, pueden terminar en manos del propio proveedor de IA, de los competidores de una organizaci\u00f3n o del p\u00fablico en general. <\/p>\n<p>Debido a que la mayor\u00eda de las herramientas de IA generativa son gratuitas y existen fuera de la pila tecnol\u00f3gica de la organizaci\u00f3n, los profesionales de seguridad y riesgo no tienen supervisi\u00f3n ni controles de seguridad para estas herramientas.  Esta es una preocupaci\u00f3n creciente entre las empresas, y ya se han producido filtraciones de datos de IA generativa. <\/p>\n<p>Un incidente de marzo habilitado inadvertidamente <a rel=\"nofollow noopener\" href=\"https:\/\/www.cpomagazine.com\/data-privacy\/titles-of-user-chat-histories-exposed-by-chatgpt-bug\/\" target=\"_blank\">Usuarios de ChatGPT para ver los t\u00edtulos e historiales de chat de otros usuarios<\/a> en la barra lateral del sitio web.  Surgi\u00f3 la preocupaci\u00f3n no solo por las filtraciones de informaci\u00f3n organizacional confidencial, sino tambi\u00e9n por la revelaci\u00f3n y el compromiso de las identidades de los usuarios.  OpenAI, los desarrolladores de ChatGPT, anunciaron la posibilidad de que los usuarios desactiven el historial de chat.  En teor\u00eda, esta opci\u00f3n evita que ChatGPT env\u00ede datos a OpenAI para mejorar el producto, pero requiere que los empleados administren la configuraci\u00f3n de retenci\u00f3n de datos.  Incluso con esta configuraci\u00f3n habilitada, OpenAI conserva las conversaciones durante 30 d\u00edas y ejerce el derecho de revisarlas &#8220;por abuso&#8221; antes de su vencimiento.<\/p>\n<p>Este error y la letra peque\u00f1a de retenci\u00f3n de datos no han pasado desapercibidos.  En Mayo, <a rel=\"nofollow noopener\" href=\"https:\/\/www.theverge.com\/2023\/5\/19\/23729619\/apple-bans-chatgpt-openai-fears-data-leak\" target=\"_blank\">Apple restringi\u00f3 a los empleados el uso de ChatGPT<\/a> por preocupaciones de fugas de datos confidenciales.  Si bien el gigante tecnol\u00f3gico adopt\u00f3 esta postura al construir sus propias herramientas generativas de inteligencia artificial, se uni\u00f3 a empresas como Amazon, Verizon y JPMorgan Chase en la prohibici\u00f3n.  Apple tambi\u00e9n orden\u00f3 a sus desarrolladores que eviten GitHub Co-pilot, propiedad del principal competidor Microsoft, para automatizar el c\u00f3digo.<\/p>\n<p>Los casos de uso comunes de IA generativa est\u00e1n repletos de riesgos de fuga de datos.  Considere a un gerente de producto que solicita a ChatGPT que haga que el mensaje en un documento de hoja de ruta del producto sea m\u00e1s convincente.  Es casi seguro que esa hoja de ruta del producto contiene informaci\u00f3n y planes del producto que nunca fueron destinados al consumo p\u00fablico, y mucho menos a las miradas indiscretas de un competidor.  Un error similar de ChatGPT, que el equipo de TI de una organizaci\u00f3n no tiene la capacidad de escalar o remediar, podr\u00eda resultar en una exposici\u00f3n de datos grave. <\/p>\n<p>La IA generativa independiente no crea un riesgo de seguridad SaaS.  Pero lo que est\u00e1 aislado hoy est\u00e1 conectado ma\u00f1ana.  Los empleados ambiciosos naturalmente buscar\u00e1n ampliar la utilidad de las herramientas de IA generativa no autorizadas integr\u00e1ndolas en las aplicaciones SaaS.  Actualmente, <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@alexandre.tkint\/integrate-openais-chatgpt-within-slack-a-step-by-step-approach-bea43400d311\" target=\"_blank\">Integraci\u00f3n de Slack de ChatGPT<\/a> exige m\u00e1s trabajo que la conexi\u00f3n promedio de Slack, pero no es un est\u00e1ndar demasiado alto para un empleado inteligente y motivado.  La integraci\u00f3n utiliza tokens de OAuth exactamente como el ejemplo del asistente de programaci\u00f3n de IA descrito anteriormente, lo que expone a una organizaci\u00f3n a los mismos riesgos.<\/p>\n<h2>C\u00f3mo las organizaciones pueden proteger sus entornos SaaS de los riesgos significativos de las herramientas de IA<\/h2>\n<p>Las organizaciones necesitan barandillas para el gobierno de datos de herramientas de IA, espec\u00edficamente para sus entornos SaaS.  Esto requiere herramientas de seguridad integrales de SaaS y una diplomacia multifuncional proactiva.<\/p>\n<p>Los empleados usan herramientas de IA no autorizadas en gran parte debido a las limitaciones de la pila tecnol\u00f3gica aprobada.  El deseo de aumentar la productividad y aumentar la calidad es una virtud, no un vicio.  Existe una necesidad insatisfecha, y los CISO y sus equipos deben abordar a los empleados con una actitud de colaboraci\u00f3n frente a condena.<\/p>\n<p>Las conversaciones de buena fe con l\u00edderes y usuarios finales con respecto a sus solicitudes de herramientas de IA son vitales para generar confianza y buena voluntad.  Al mismo tiempo, los CISO deben transmitir preocupaciones de seguridad leg\u00edtimas y las posibles ramificaciones del comportamiento de riesgo de la IA.  Los l\u00edderes de seguridad deben considerarse los contadores que explican las mejores formas de trabajar dentro del c\u00f3digo tributario en lugar de los auditores del IRS percibidos como ejecutores sin preocuparse por nada m\u00e1s all\u00e1 del cumplimiento.  Ya sea implementando configuraciones de seguridad adecuadas para las herramientas de IA deseadas o buscando alternativas viables, los CISO m\u00e1s exitosos se esfuerzan por ayudar a los empleados a maximizar su productividad. <\/p>\n<p>Comprender y abordar completamente los riesgos de las herramientas de IA requiere una gesti\u00f3n integral y robusta de la postura de seguridad de SaaS (<a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/blog_post\/why-your-saas-security-strategy-is-incomplete-without-sspm\/?utm_campaign=Hacker%20News%20FY24&amp;utm_source=hacker-news\" target=\"_blank\"><strong>SSPM<\/strong><\/a>) soluci\u00f3n.  SSPM brinda a los profesionales de la seguridad y el riesgo la informaci\u00f3n y la visibilidad que necesitan para navegar por el estado en constante cambio del riesgo de SaaS.<\/p>\n<p>Para mejorar la fuerza de la autenticaci\u00f3n, los equipos de seguridad pueden usar SSPM para hacer cumplir MFA en todas las aplicaciones SaaS en el estado y monitorear la desviaci\u00f3n de la configuraci\u00f3n.  SSPM permite que los equipos de seguridad y los propietarios de aplicaciones SaaS apliquen las mejores pr\u00e1cticas sin estudiar las complejidades de cada aplicaci\u00f3n SaaS y configuraci\u00f3n de herramientas de IA.<\/p>\n<p>La capacidad de inventariar herramientas de IA aprobadas y no autorizadas conectadas al ecosistema SaaS revelar\u00e1 los riesgos m\u00e1s urgentes para investigar.  El monitoreo continuo alerta autom\u00e1ticamente a los equipos de seguridad y riesgo cuando se establecen nuevas conexiones de IA.  Esta visibilidad juega un papel importante en la reducci\u00f3n de la superficie de ataque y la adopci\u00f3n de medidas cuando aparece una herramienta de IA no autorizada, insegura y\/o con permisos excesivos en el ecosistema SaaS.<\/p>\n<p>Es casi seguro que la confianza en las herramientas de IA continuar\u00e1 propag\u00e1ndose r\u00e1pidamente.  Las prohibiciones directas nunca son infalibles.  En cambio, una combinaci\u00f3n pragm\u00e1tica de l\u00edderes de seguridad que comparten el objetivo de sus pares de aumentar la productividad y reducir las tareas repetitivas junto con <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/?utm_campaign=Hacker%20News%20FY24&amp;utm_source=hacker-news\" target=\"_blank\"><strong>la soluci\u00f3n adecuada de SSPM<\/strong><\/a>  es el mejor enfoque para reducir dr\u00e1sticamente la exposici\u00f3n de datos de SaaS o el riesgo de incumplimiento. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/how-generative-ai-can-dupe-saas.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los equipos de seguridad y TI se ven obligados a adoptar software antes de comprender completamente los riesgos<\/p>\n","protected":false},"author":1,"featured_media":824439,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,33384,7996,440,4664,59323,31291,4662,7388,131660,4668,4667,36,4654,4658,4659,4653,4655,21,14899,4663,2627,149,8404,23105,4666,4665,4660],"class_list":["post-824438","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-autenticacion","tag-clave","tag-como","tag-como-hackear","tag-efectivas","tag-enganar","tag-filtracion-de-datos","tag-formas","tag-generativa","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-otros","tag-prevenir","tag-programa-malicioso-ransomware","tag-protocolos","tag-puede","tag-riesgos","tag-saas","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/824438","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=824438"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/824438\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/824439"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=824438"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=824438"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=824438"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}