Muchas organizaciones implementan modelos de inteligencia artificial para optimizar procesos, mejorar la experiencia de los clientes, analizar datos y obtener ventajas competitivas. Sin embargo, la digitalización masiva de la información y la adopción de estas tecnologías conllevan ciertos riesgos en términos de seguridad y privacidad de la información.

Es por eso que las empresas se ven en la necesidad de implementar estrategias de mitigación de riesgos para evitar consecuencias legales, económicas y reputacionales derivadas de un uso indebido o poco seguro de esta tecnología.

A continuación, desarrollaremos algunos aspectos de este tema.

Recolección y Almacenamiento de Datos Personales

El funcionamiento de los modelos de IA depende mayoritariamente del acceso a grandes volúmenes de datos (con los que se entrenan y de los cuales se sirven), muchos de los cuales contienen información personal, sensible y confidencial.

Los datos recopilados para los modelos provienen de diversas fuentes: bases de datos previas a la implementación, información pública o de fuentes abiertas, información solicitada a los usuarios (quienes la consienten) y también de fuentes como redes sociales, historiales de búsqueda, transacciones en línea y, más recientemente, de información recopilada por dispositivos IoT.

Dada la gran cantidad de datos, está claro que, si estos no son tratados y almacenados de forma segura, pueden quedar expuestos y sujetos a posibles accesos indebidos, filtraciones o incluso robos de información, lo que facilita ampliamente las tareas de distintos grupos cibercriminales.

Y no solo esto, sino que la recolección masiva de datos plantea también desafíos en cuanto al consentimiento informado de los usuarios, quienes muchas veces desconocen el alcance del uso de su información. Ese desconocimiento implica un vicio del consentimiento (a nivel legal) y, por tanto, dichas recopilaciones se tornan ilícitas. Más allá de eso, la falta de transparencia y explicabilidad sobre cómo funcionan los modelos y cómo tratan la información acarrea también conflictos legales.

Frente a estas circunstancias, se recomienda a las empresas adoptar diversas medidas de seguridad, como la anonimización y pseudonimización de datos. Por otro lado, apegarse a normativas de protección de datos como las leyes locales o el GDPR les dará una garantía de que su organización cumple con estándares mínimos que le permitirán avanzar hacia infraestructuras más robustas.

No deben dejarse de lado las medidas básicas como el cifrado, las contraseñas robustas, los dobles factores de autenticación, la concientización de los empleados e implementación de soluciones de seguridad como antimalware, así como un enfoque proactivo de búsqueda de vulnerabilidades y amenazas.

Abuso de Información

El acceso a datos sensibles, algo común en estos días y más en relación con modelos de inteligencia artificial, amplía la superficie de ataque, dando más posibilidades a los cibercriminales de utilizar los datos de forma maliciosa en caso de ser accedidos.

Fuera de lo relacionado con el cibercrimen, muchas empresas lucran con la información de sus usuarios vendiéndola a terceros y ocasionalmente pueden llegar a hacerlo de forma descuidada y hasta sin el conocimiento de los titulares de los datos, lo que plantea serios riesgos en términos de transparencia y seguridad.

De la misma manera, los modelos de IA entrenados con ciertos datos pueden aprovecharlos para influir en decisiones de compra y realizar perfilamiento de los usuarios incluso sin su consentimiento. Esto plantea dilemas éticos y cuestiones vinculadas al derecho del consumidor.

En estos casos, nos encontramos usualmente frente a situaciones de abuso de información que no solo se limitan a cuestiones monetarias poco éticas, sino que pueden conllevar la perpetuación de sesgos y discriminación algorítmica, un problema que no es nuevo en este ámbito.

Para evitar esto, es fundamental que las empresas se apeguen a principios de uso ético de la IA, además de implementar auditorías de transparencia y supervisión de los modelos. Esto con el fin de reducir al máximo los riesgos y potenciales daños.

Vulnerabilidades y Ciberataques

Los modelos de IA no han escapado del cibercrimen y se han vuelto un objetivo atractivo. En efecto, pueden ser vulnerables a diversas formas de ataques que afecten su seguridad e integridad.

No solo se atacan directamente los modelos, como en casos de prompt injection, sino que también se los utiliza para llevar adelante otro tipo de ataques.

Se han visto ya los primeros malware diseñados para atacar modelos con finalidades varias, como interrumpir su funcionamiento, exfiltrar información, manipular las decisiones del modelo (data poisoning), entre otras.

Al utilizar las empresas diversos modelos, tanto estas como los usuarios quedarían expuestos a los riesgos inherentes y eventuales daños o consecuencias no deseadas.

Para mitigar estos riesgos, las empresas deben implementar diversas medidas de seguridad. Una de las formas es hacerlo en capas, lo que implica la detección de anomalías en el entrenamiento de modelos y realizar monitoreos continuos de sus sistemas.

Incluso podría implementarse IA especializada en ciberseguridad para proteger la información de otros modelos implementados a nivel empresarial.

Vale aclarar que no basta con que la empresa proteja su propia infraestructura, sino que parte del trabajo consiste en asegurarse de que la cadena de suministro cuente con los mismos estándares de seguridad y así evitar cualquier brecha.

Regulaciones y Cumplimiento

Durante toda su operatividad y más aún implementando tecnologías que traten grandes cantidades de datos, como lo son los modelos de Inteligencia Artificial, las organizaciones quedan siempre sujetas a ciertos marcos regulatorios que tienen por objetivo establecer estándares básicos para proteger la privacidad y seguridad de los datos procesados.

Cada estado cuenta con sus propias normas, no solo de protección de datos, sino de ciberseguridad y, más recientemente, normas específicas orientadas a la IA. En el ámbito internacional existen normativas modelo como el Reglamento General de Protección de Datos (GDPR) en Europa, que si bien es una norma interna de la Unión Europea, ha sido imitada por muchos países e incluso funciona casi como un estándar en la materia.

Además, existen diversos frameworks de seguridad, como el NIST AI Risk Management Framework y la norma ISO/IEC 27001, que ofrecen pautas para la gestión de la seguridad de la información.

El incumplimiento de las normativas podría derivar en sanciones económicas y daños reputacionales irreversibles. Para garantizar el cumplimiento, es recomendable aplicar estrategias de protección proactiva, realizar auditorías de seguridad de manera periódica y capacitar a los empleados en buenas prácticas de manejo de datos sensibles. Asimismo, las empresas deben documentar sus procesos de toma de decisiones algorítmicas para asegurar la trazabilidad y explicar cómo se utilizan los datos en los modelos de IA.

En efecto, el uso de IA de forma descuidada y sin una buena infraestructura de ciberseguridad traerá siempre aparejado el incumplimiento de algún punto de las normativas existentes, en tanto vulnerará los derechos de protección de datos de la ciudadanía.

Impacto en la Reputación Empresarial

Más allá de lo dicho y dentro del ámbito de lo no mesurable de forma exacta, un incidente de seguridad o privacidad (en este caso vinculado a la IA) puede causar daños irreparables a la reputación de una empresa y afectar su relación con los clientes, socios y la competencia, lo que consecuentemente ocasionaría efectos negativos en lo financiero. En el caso de filtraciones masivas de datos, por ejemplo, las empresas pueden enfrentar demandas de alto costo monetario y procesos judiciales prolongados, y este es solo uno de tantos ejemplos posibles.

Para minimizar estos riesgos, la adopción de estrategias de transparencia en el manejo de incidentes, el desarrollo de planes de respuesta a incidentes y el fortalecimiento de políticas de seguridad se vuelven cuestiones indispensables.

Medidas de Protección

Frente a todos estos riesgos, recomendamos tomar ciertas medidas básicas para la prevención y protección de la información tratada mediante modelos de IA:

  • Seguridad desde el diseño: Implementar "security-by-design", que implica que todas las etapas del desarrollo de los modelos de IA se realicen de forma segura y prioritaria.
  • Evaluación de seguridad constante: Realizar auditorías y análisis de vulnerabilidades de forma proactiva para identificar y mitigar posibles riesgos antes de que sean explotados por cibercriminales.
  • Uso de IA para ciberseguridad: Aprovechar machine learning y otros modelos de IA especializados en ciberseguridad para detectar amenazas y responder automáticamente a incidentes.
  • Implementar autenticación multifactor (MFA), contraseñas robustas y políticas de acceso basadas en roles para restringir el acceso a datos sensibles.
  • Capacitación y concientización: Educar a los empleados sobre buenas prácticas de seguridad y el manejo responsable de datos en sistemas de IA.
  • Contar con soluciones de seguridad como antimalware y antiphishing capaces de realizar detecciones en tiempo real.
  • Garantizar que los modelos de IA cumplan con regulaciones internacionales y nacionales pertinentes, así como con los principios éticos de transparencia, explicabilidad, equidad y responsabilidad.

Conclusiones

La implementación de la inteligencia artificial es una oportunidad estratégica sin precedentes, que permite a las empresas mejorar la eficiencia, optimizar procesos y ofrecer soluciones innovadoras. Sin embargo, junto con sus ventajas, conlleva una serie de riesgos relacionados con la seguridad y la privacidad de datos, que las organizaciones deben abordar de manera cuidadosa.

Para mitigar estos riesgos y garantizar un uso responsable y ético de la IA, es esencial que las empresas adopten un enfoque integral de protección y ciberseguridad.

Las empresas deben promover la transparencia, explicabilidad y comprometerse con la ética en el uso de la IA, con el objetivo de que las decisiones basadas en los modelos sean justas y equitativas, así como garantizar que la información de los usuarios permanezca protegida y fuera del alcance del cibercrimen.