El uso no autorizado de ChatGPT y otras herramientas de IA generativa está creando un creciente punto ciego de ciberseguridad para las empresas. A medida que los empleados adoptan estas tecnologías sin la supervisión adecuada, pueden exponer inadvertidamente datos confidenciales. Sin embargo, muchos gerentes aún subestiman el riesgo y retrasan la implementación de defensas de terceros.
Este tipo de uso no autorizado de tecnología, conocido como TI en la sombra, ha planteado desde hace tiempo desafíos de seguridad. Ahora, su contraparte impulsada por IA —la IA en la sombra— está generando nuevas preocupaciones entre los expertos en ciberseguridad.
En la mayoría de los casos, se otorga a la IA un acceso más amplio a los datos que a la TI en la sombra para que pueda realizar sus tareas. Esto aumenta la exposición potencial en caso de una filtración de datos.
La IA aumenta los riesgos de las TI en la sombra
El uso indebido de herramientas de IA por parte de los empleados presenta riesgos de seguridad únicos. Si los modelos de IA acceden a datos confidenciales de una organización para su entrenamiento o investigación interna, dicha información puede hacerse pública involuntariamente. Los actores maliciosos también pueden obtener información privada a través de vulnerabilidades de los modelos.
Incluso sin saberlo, los empleados se encuentran con varias formas de IA en la sombra, incluidas herramientas GenAI, transcripciones de reuniones impulsadas por IA, asistentes de codificación, bots de atención al cliente, motores de visualización de datos y funciones de IA dentro de los sistemas CRM.
La falta de verificación de seguridad hace que la IA en la sombra sea particularmente peligrosa, ya que algunos modelos pueden usar datos de la empresa sin las garantías adecuadas, no cumplir con las regulaciones y almacenar información con niveles de seguridad insuficientes.
¿Qué supone un mayor riesgo: la IA genómica o la IA integrada?
La IA en la sombra, que surge de herramientas GenAI no aprobadas, representa la amenaza de seguridad más inmediata y significativa. A menudo carece de supervisión, protocolos de seguridad y utilización.
Sin embargo, identificar y gestionar eficazmente esta IA oculta, en cualquier forma, tiene posibles implicaciones de seguridad. Las organizaciones deberían invertir en una herramienta de seguridad potente, como ChatGPT, que pueda ir más allá de la detección del uso directo de chatbots de IA.
La IA puede mantenerse al día con el lanzamiento constante de nuevas herramientas de IA y las noticias sobre brechas de seguridad. Para potenciar las detecciones, la seguridad no debe basarse únicamente en reglas estáticas que pueden quedar obsoletas rápidamente.
Riesgos de GenAI ocultos en las aplicaciones SaaS
Se da el caso de que las herramientas de IA integradas en aplicaciones SaaS aprobadas son desconocidas o no están aprobadas por la empresa, a pesar de que la propia aplicación SaaS sí lo esté.
Las herramientas de seguridad tradicionales, como los agentes de seguridad de acceso a la nube (CASB), solo pueden detectar el uso de aplicaciones SaaS y el uso directo de la IA, incluyendo herramientas como ChatGPT. Estos son puntos de aplicación de políticas de seguridad entre los usuarios empresariales y los proveedores de servicios en la nube.
Riesgos de cumplimiento vinculados a la IA en la sombra
La IA en la sombra puede provocar infracciones de cumplimiento normativo relacionadas con la información personal. Algunos marcos regulatorios que afectan a las organizaciones incluyen el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que rige el procesamiento de datos personales.
La IA en la sombra puede violar los principios del RGPD, entre ellos:
- Minimización de datos : recopilar más datos de los necesarios
- Limitación de la finalidad : uso de datos para fines no previstos
- Seguridad de los datos : no proteger los datos adecuadamente
Las organizaciones son responsables de todas las actividades de procesamiento de datos, incluidas aquellas de IA no autorizada.
Por ello, la IA en la sombra puede provocar la violación del derecho de los consumidores a conocer, acceder y eliminar sus datos, así como a no vender su información personal. Si la IA en la sombra utiliza datos personales sin la debida divulgación o consentimiento, se produce una infracción grave de las normas de privacidad.
Desafíos de seguridad futuros con la IA en la sombra
Evitar conflictos legales es fundamental, por eso las organizaciones deben evaluar y mitigar los riesgos de las herramientas de IA no verificadas, mediante la detección de vulnerabilidades y el establecimiento de directrices claras sobre qué herramientas sí están autorizadas.
También es recomendable educar a los empleados sobre las amenazas de la IA en la sombra y garantizar que tengan acceso a soluciones aprobadas y de nivel empresarial.
A medida que la IA evoluciona y se integra más en las aplicaciones, la IA en la sombra introducirá riesgos de seguridad más complejos. Para mantenerse a la vanguardia, las organizaciones necesitan estrategias a largo plazo respaldadas por herramientas de seguridad SaaS que puedan detectar la actividad de la IA en las aplicaciones, evaluar con precisión los riesgos y contener las amenazas de forma temprana.