{"id":935342,"date":"2023-09-04T11:56:24","date_gmt":"2023-09-04T11:56:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/todo-lo-que-queria-saber-sobre-la-seguridad-de-la-ia-pero-tenia-miedo-de-preguntar\/"},"modified":"2023-09-04T11:56:24","modified_gmt":"2023-09-04T11:56:24","slug":"todo-lo-que-queria-saber-sobre-la-seguridad-de-la-ia-pero-tenia-miedo-de-preguntar","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/todo-lo-que-queria-saber-sobre-la-seguridad-de-la-ia-pero-tenia-miedo-de-preguntar\/","title":{"rendered":"Todo lo que quer\u00eda saber sobre la seguridad de la IA pero ten\u00eda miedo de preguntar"},"content":{"rendered":"


\n<\/p>\n

\n
\"Terminolog\u00eda<\/div>\n

\u00daltimamente ha habido mucho entusiasmo por la IA, pero eso no significa que los robots est\u00e9n aqu\u00ed para reemplazarnos. Este art\u00edculo deja las cosas claras y explica c\u00f3mo las empresas deber\u00edan abordar la IA.<\/em><\/p>\n

Desde reflexionar sobre los coches aut\u00f3nomos hasta temer a los robots de IA que podr\u00edan destruir el mundo, ha habido un gran revuelo sobre la IA en los \u00faltimos a\u00f1os. La IA ha capturado nuestra imaginaci\u00f3n, nuestros sue\u00f1os y, en ocasiones, nuestras pesadillas. Sin embargo, la realidad es que la IA est\u00e1 actualmente mucho menos avanzada de lo que anticip\u00e1bamos. Los autom\u00f3viles aut\u00f3nomos, por ejemplo, a menudo considerados el ejemplo del futuro ilimitado de la IA, representan un caso de uso limitado y a\u00fan no son una aplicaci\u00f3n com\u00fan en todos los sectores del transporte.<\/p>\n

En este art\u00edculo, quitamos importancia a la IA, proporcionamos herramientas para las empresas que se acercan a la IA y compartimos informaci\u00f3n para ayudar a las partes interesadas a educarse. <\/p>\n

Terminolog\u00eda de IA desvalorizada<\/h2>\n

<\/h3>\n

IA frente a aprendizaje autom\u00e1tico<\/h3>\n

AI (Inteligencia Artificial) y ML (Aprendizaje Autom\u00e1tico) son t\u00e9rminos que a menudo se usan indistintamente, pero representan conceptos diferentes. La IA tiene como objetivo crear inteligencia, es decir, habilidades cognitivas y la capacidad de pasar la prueba de Turing. Funciona tomando lo que ha aprendido y elev\u00e1ndolo al siguiente nivel. El objetivo del uso de la IA es replicar acciones humanas, como crear un robot de limpieza que funcione de manera similar a un limpiador humano.<\/p>\n

ML es un subconjunto de IA. Comprende modelos matem\u00e1ticos y sus capacidades se basan en combinar m\u00e1quinas con datos. ML funciona aprendiendo lecciones de los eventos y luego priorizando esas lecciones. Como resultado, el ML puede realizar acciones que los humanos no pueden, como revisar grandes cantidades de datos, descubrir patrones, predecir probabilidades y m\u00e1s. <\/p>\n

IA estrecha frente a IA general<\/h3>\n

El concepto de IA general es el que a menudo asusta a la mayor\u00eda de la gente, ya que es el ep\u00edtome de nuestros “se\u00f1ores robots” que reemplazan a los seres humanos. Sin embargo, si bien esta idea es t\u00e9cnicamente posible, no nos encontramos en esa etapa en este momento.<\/p>\n

A diferencia de la IA general, la IA estrecha es una forma especializada de IA que est\u00e1 dise\u00f1ada para tareas muy espec\u00edficas. Este enfoque permite apoyar a los humanos, liber\u00e1ndonos de trabajos demasiado exigentes o potencialmente da\u00f1inos. No pretende reemplazarnos. La IA restringida ya se est\u00e1 aplicando en todas las industrias, como en la construcci\u00f3n de autom\u00f3viles o en la fabricaci\u00f3n de cajas de embalaje. En ciberseguridad, Narrow AI puede analizar datos y registros de actividad, buscando anomal\u00edas o signos de un ataque. <\/p>\n

IA y ML en la naturaleza<\/h3>\n

Existen tres modelos comunes de IA y ML: IA generativa, ML supervisado y ML no supervisado.<\/p>\n

IA generativa<\/h3>\n

La IA generativa es un campo de vanguardia en IA, caracterizado por modelos, como los LLM, que se entrenan en un corpus de conocimiento. La tecnolog\u00eda de IA generativa tiene la capacidad de generar contenido nuevo basado en la informaci\u00f3n contenida en ese corpus. La IA generativa se ha descrito como una forma de “autocorrecci\u00f3n” o “escribir con anticipaci\u00f3n”, pero con esteroides. Ejemplos de aplicaciones de IA generativa incluyen ChatGPT, Bing, Bard, Dall-E y asistentes cibern\u00e9ticos especializados, como IBM Security QRadar Advisor con Watson o MSFT Security CoPilot.<\/p>\n

La IA generativa es m\u00e1s adecuada para casos de uso como lluvia de ideas, edici\u00f3n asistida y realizaci\u00f3n de investigaciones sobre un corpus confiable. Profesionales de la ciberseguridad<\/b><\/a>, al igual que los equipos de SOC y de fusi\u00f3n, pueden aprovechar la IA generativa para la investigaci\u00f3n, a fin de ayudarlos a comprender las vulnerabilidades de d\u00eda cero, las topolog\u00edas de red o los nuevos indicadores de compromiso (IoC). Es importante reconocer que la IA generativa a veces produce “alucinaciones”, es decir, respuestas incorrectas.<\/p>\n

Clase magistral de seguridad cibern\u00e9tica: Episodio 13<\/span><\/p>\n

Todo lo que quer\u00eda saber sobre la seguridad de la IA pero ten\u00eda miedo de preguntar<\/p>\n

<\/a><\/p>\n

En esta sesi\u00f3n, iremos m\u00e1s all\u00e1 de las exageraciones y descubriremos si la IA afecta su estrategia de ciberseguridad y c\u00f3mo.<\/p>\n

Ver ahora<\/a><\/section>\n

Seg\u00fan Etay Maor, director senior de estrategia de seguridad de Redes Cato<\/b><\/a>“La IA generativa tambi\u00e9n puede ayudar a los delincuentes. Por ejemplo, pueden usarla para escribir correos electr\u00f3nicos de phishing. Antes de ChatGPT, una de las detecciones b\u00e1sicas de los correos electr\u00f3nicos de phishing eran errores ortogr\u00e1ficos y gramaticales. Esos eran indicadores de que algo era sospechoso. Ahora, los delincuentes Puedes escribir f\u00e1cilmente un correo electr\u00f3nico de phishing en varios idiomas con una gram\u00e1tica perfecta”.<\/p>\n

Aprendizaje sin supervisi\u00f3n<\/h3>\n

El aprendizaje no supervisado en ML significa que los datos del entrenamiento y los resultados no est\u00e1n etiquetados. Este enfoque permite a los algoritmos hacer inferencias a partir de datos sin intervenci\u00f3n humana, para encontrar patrones, grupos y conexiones. El aprendizaje no supervisado se utiliza habitualmente para recomendaciones din\u00e1micas, como en los sitios web minoristas.<\/p>\n

En ciberseguridad, el aprendizaje no supervisado se puede utilizar para agrupar o agrupar y para encontrar patrones que no eran evidentes antes; por ejemplo, puede ayudar a identificar todo el malware con una determinada firma que se origina en un estado-naci\u00f3n espec\u00edfico. Tambi\u00e9n puede encontrar asociaciones y v\u00ednculos entre conjuntos de datos. Por ejemplo, determinar si las personas que hacen clic en correos electr\u00f3nicos de phishing tienen m\u00e1s probabilidades de reutilizar contrase\u00f1as. Otro caso de uso es la detecci\u00f3n de anomal\u00edas, como detectar actividad que podr\u00eda indicar que un atacante est\u00e1 utilizando credenciales robadas.<\/p>\n

El aprendizaje no supervisado no siempre es la elecci\u00f3n correcta. Cuando obtener un resultado incorrecto tiene un impacto muy alto y consecuencias graves, cuando se necesitan tiempos de capacitaci\u00f3n cortos o cuando se requiere total transparencia, se recomienda adoptar un enfoque diferente.<\/p>\n

Aprendizaje supervisado<\/h3>\n

En el aprendizaje supervisado, los datos de entrenamiento se etiquetan con pares de entrada\/salida, y la precisi\u00f3n del modelo depende de la calidad del etiquetado y de la integridad del conjunto de datos. A menudo se requiere la intervenci\u00f3n humana para revisar el resultado, mejorar la precisi\u00f3n y corregir cualquier sesgo. El aprendizaje supervisado es m\u00e1s adecuado para hacer predicciones.<\/p>\n

En ciberseguridad, el aprendizaje supervisado se utiliza para la clasificaci\u00f3n, lo que puede ayudar a identificar el phishing y el malware. Tambi\u00e9n se puede utilizar para regresi\u00f3n, como predecir el costo de un nuevo ataque bas\u00e1ndose en los costos de incidentes pasados.<\/p>\n

El aprendizaje supervisado no es la mejor opci\u00f3n si no hay tiempo para entrenar o nadie para etiquetar o entrenar los datos. Tampoco se recomienda cuando es necesario analizar grandes cantidades de datos, cuando no hay suficientes datos o cuando el objetivo final es la clasificaci\u00f3n\/agrupaci\u00f3n automatizada.<\/p>\n

Aprendizaje por refuerzo (RL)<\/h2>\n

El aprendizaje por refuerzo (RL) ocupa un espacio entre el aprendizaje totalmente supervisado y el no supervisado y es un enfoque \u00fanico para el ML. Significa volver a entrenar un modelo cuando el entrenamiento existente no logra anticipar ciertos casos de uso. Incluso el aprendizaje profundo, con su acceso a grandes conjuntos de datos, puede pasar por alto casos de uso at\u00edpicos que la RL puede abordar. La existencia misma de la RL es una admisi\u00f3n impl\u00edcita de que los modelos pueden tener defectos.<\/p>\n

Lo que dicen los ciberdelincuentes sobre la IA generativa<\/h2>\n

La IA generativa es de inter\u00e9s para los ciberdelincuentes. Seg\u00fan Etay Maor, “los ciberdelincuentes han estado hablando sobre c\u00f3mo utilizar ChatGPT, Bard y otras aplicaciones GenAI desde el d\u00eda en que fueron introducidas, adem\u00e1s de compartir sus experiencias y pensamientos sobre sus capacidades. Al parecer, creen que GenAI tiene limitaciones. y probablemente estar\u00e1 m\u00e1s maduro para su uso por parte de atacantes en unos a\u00f1os”.<\/p>\n

Algunos ejemplos de conversaci\u00f3n incluyen:<\/p>\n

\"\"<\/div>\n
\"\"<\/div>\n
\"\"<\/div>\n

El marco de gesti\u00f3n de riesgos de inteligencia artificial (AI RMF) del NIST<\/h2>\n

Al interactuar con la IA y las soluciones basadas en ella, es importante comprender las limitaciones, los riesgos y las vulnerabilidades de la IA. El Marco de gesti\u00f3n de riesgos de inteligencia artificial (AI RMF) del NIST<\/a> es un conjunto de directrices y mejores pr\u00e1cticas dise\u00f1adas para ayudar a las organizaciones a identificar, evaluar y gestionar los riesgos asociados con la implementaci\u00f3n y el uso de tecnolog\u00edas de inteligencia artificial.<\/p>\n

El marco consta de seis elementos:<\/p>\n

    \n
  1. V\u00e1lido y confiable <\/strong>– La IA puede proporcionar informaci\u00f3n err\u00f3nea, lo que en GenAI tambi\u00e9n se conoce como “alucinaciones”. Es importante que las empresas puedan validar que la IA que est\u00e1n adoptando sea precisa y confiable.<\/li>\n
  2. Seguro<\/strong> – Asegurarse de que la informaci\u00f3n solicitada no se comparta con otros usuarios, como en el infame caso samsung<\/a>.<\/li>\n
  3. Seguro y resistente<\/strong> – Los atacantes utilizan la IA para los ciberataques. Las organizaciones deben garantizar que el sistema de IA est\u00e9 protegido y a salvo de ataques y que pueda frustrar con \u00e9xito los intentos de explotarlo o utilizarlo para ayudar en los ataques.<\/li>\n
  4. Responsable y transparente<\/strong> – Es importante poder explicar la cadena de suministro de la IA y garantizar que haya una conversaci\u00f3n abierta sobre c\u00f3mo funciona. La IA no es m\u00e1gica.<\/li>\n
  5. Privacidad mejorada<\/strong> – Garantizar que la informaci\u00f3n solicitada est\u00e9 protegida y an\u00f3nima en el lago de datos y cuando se utilice.<\/li>\n
  6. Justo<\/strong> – Este es uno de los elementos m\u00e1s importantes. Significa gestionar los prejuicios perjudiciales. Por ejemplo, a menudo hay sesgos en el reconocimiento facial de la IA, ya que los hombres de piel clara se identifican con mayor precisi\u00f3n en comparaci\u00f3n con las mujeres y los colores de piel m\u00e1s oscuros. Cuando se utiliza la IA para hacer cumplir la ley, por ejemplo, esto podr\u00eda tener graves implicaciones.<\/li>\n<\/ol>\n

    Los recursos adicionales para gestionar el riesgo de IA incluyen el ATLAS DE INGLETA<\/a> (Panorama de amenazas adversas para los sistemas de inteligencia artificial), OWASP Top 10 para ML<\/a> y Marco seguro de IA de Google<\/a> (SAIF).<\/p>\n

    Preguntas para hacerle a su proveedor<\/h2>\n

    En un futuro pr\u00f3ximo, ser\u00e1 muy com\u00fan que los proveedores ofrezcan capacidades de IA generativa. Aqu\u00ed hay una lista de preguntas que puede hacer para respaldar su elecci\u00f3n informada.<\/p>\n

    1. \u00bfQu\u00e9 y por qu\u00e9?<\/strong><\/h4>\n

    \u00bfCu\u00e1les son las capacidades de la IA y por qu\u00e9 son necesarias? Por ejemplo, GenAI es muy bueno escribiendo correos electr\u00f3nicos, por lo que GenAI tiene sentido para un sistema de correo electr\u00f3nico. \u00bfCu\u00e1l es el caso de uso para el proveedor?<\/p>\n

    2. Datos de entrenamiento<\/strong><\/h3>\n

    Los datos de capacitaci\u00f3n deben gestionarse de manera adecuada y precisa; de lo contrario, pueden generar sesgos. Es importante preguntar sobre los tipos de datos de entrenamiento, c\u00f3mo se han limpiado, c\u00f3mo se gestionan, etc.<\/p>\n

    3. \u00bfEstaba incorporada la resiliencia?<\/strong><\/h4>\n

    \u00bfEl proveedor ha tenido en cuenta que los ciberdelincuentes est\u00e1n atacando el propio sistema y ha implementado controles de seguridad?<\/p>\n

    4. ROI real frente a reclamaciones<\/strong><\/h4>\n

    \u00bfCu\u00e1l es el ROI? \u00bfEl ROI justifica la implementaci\u00f3n de IA o ML (o se agregaron debido a la publicidad y con fines de ventas)?<\/p>\n

    5. \u00bfRealmente est\u00e1 resolviendo un problema?<\/strong><\/h4>\n

    La pregunta m\u00e1s importante: \u00bfla IA est\u00e1 resolviendo su problema y lo est\u00e1 haciendo bien? No tiene sentido pagar una prima e incurrir en gastos generales adicionales a menos que la IA resuelva el problema y funcione como deber\u00eda.<\/p>\n

    La IA puede empoderarnos y ayudarnos a desempe\u00f1arnos mejor, pero no es una soluci\u00f3n milagrosa. Por eso es importante que las empresas tomen decisiones fundamentadas sobre las herramientas con IA que elijan implementar internamente.<\/p>\n

    Para obtener m\u00e1s informaci\u00f3n sobre los casos de uso, riesgos, aplicaciones, vulnerabilidades e implicaciones de IA y ML para los expertos en seguridad, mira la masterclass completa aqu\u00ed<\/b>.<\/a><\/p>\n

    <\/p>\n

    \u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n