He visto que cada vez se publican más noticias e información sobre normativa, protección de datos e Inteligencia Artificial en medios que no están directamente relacionados con la tecnología o la seguridad de la información. Esto me ha sorprendido positivamente, ya que demuestra que cada vez más gente tiene visibilidad sobre temas tan importantes como estos e, indirectamente, permite que más personas reflexionen sobre el tema y, con el tiempo, contribuyan a su evolución.

La protección de datos en sí misma ya tiene una serie de retos asociados. Cuando se añade el elemento de la IA a la ecuación, el grado de complejidad del tema aumenta considerablemente. En este artículo, comparto algunas de mis opiniones sobre los principales retos que nos aguardan en materia de normativa y seguridad relacionadas con las Inteligencias Artificiales Generativas. Para referirme a estos tipos específicos de Inteligencia Artificial de forma más resumida, utilizaré el acrónimo IAG.

Es de sobra conocido que las IAG se utilizan de diversas formas, incluso con fines maliciosos. Esta constatación nos hace dejar de pensar en la posibilidad de «si se producirá o no un ataque de IAG» y nos lleva a la certeza de que «se producirá un ataque de IAG, así que ¿cuáles son las mejores formas de hacerle frente?». Esto demuestra por sí mismo una evolución en la madurez de la seguridad relacionada con el tema y nos lleva a lo que creo que es uno de los retos más complejos de resolver: ¿cómo se asignan las responsabilidades de un incidente?

No se trata de un reto trivial, ya que no existe una respuesta sencilla a esta pregunta. Hay muchos puntos a considerar. Si pensamos en todo el proceso de creación de nuevos contenidos, tenemos, como mínimo, la siguiente estructura:

  • Empresa propietaria de la herramienta;
  • Los desarrolladores de software implicados en la creación de la herramienta y la definición de sus parámetros de interacción;
  • Los responsables de la formación de la solución, incluida la recogida de datos, su catalogación y su inserción en el modelo de aprendizaje;
  • El usuario de la herramienta, que la utilizó para crear contenidos potencialmente nocivos y, finalmente, la utilizó para generar un incidente.

Resulta extremadamente difícil asignar responsabilidades en estos casos. Las IAG no son más que herramientas y, como siempre digo, una herramienta puede ver subvertida su finalidad. En casos de herramientas tan robustas y complejas como éstas, puede ser necesario que los países busquen un consenso y establezcan unas pautas y tipificaciones de incidentes para tratar estas situaciones de la mejor manera posible.

Esta necesidad de cooperación me lleva al segundo reto: la transnacionalidad.

Para ilustrarlo, utilizaré un ejemplo muy sencillo: supongamos que un ciberdelincuente utiliza una IAG para llevar a cabo un ataque. A pesar del éxito del ataque, el criminal fue descubierto, y las autoridades responsables de la investigación identificaron el siguiente escenario: el criminal es del país AAAA; utilizó una IAG cuyo origen y sede se encuentran en el país BBBB; y la empresa víctima es del país CCCC.

Sin un proceso bien estructurado de cooperación entre países, el delito cometido tardaría aún más en resolverse. Sin embargo, esta estructuración no es fácil de conseguir. Las leyes de protección de datos, como el GDPR de la Unión Europea, tienen características transnacionales que pueden adaptarse y mejorarse para formar la base de las nuevas normativas sobre IA que surjan.

El tercer y último reto que mencionaré en este artículo se refiere a las características inherentes a la creación de una normativa y a los avances tecnológicos que deberá regular.

Imaginemos una empresa de IAG que acaba de lanzar su herramienta al público. Nada más lanzarla, en su versión 1.0, se hace necesaria una regulación del desarrollo y uso de la tecnología.

Supongamos que la empresa sigue desarrollando las características de su nueva herramienta y lanza actualizaciones cada tres meses. Por comodidad, supongamos también que la ley que regule la solución se creará en Brasil.

Para que una ley entre en vigor, deben cumplirse una serie de requisitos. En primer lugar, hay que proponer la ley; a continuación, debe ser analizada por las comisiones responsables; puede que tenga que ser votada en el Pleno, enviada al Senado, aprobada por la Presidencia de la República y, si supera todo lo anterior, publicada.

Si todo va bien, en dos años se publicaría una ley para regular el uso de la versión 1.0 de la tecnología. Mientras tanto, la nueva IAG ya habría recibido al menos ocho actualizaciones, posiblemente añadiendo nuevas funciones. En otras palabras, aunque la ley entrara en vigor lo antes posible, ya estaría desfasada.

Desgraciadamente, estos son solo algunos de los muchos retos que las inteligencias artificiales generativas aportan al panorama de la seguridad. Creo que será uno de los retos más complejos de la historia. No es casualidad que las IAG también se encuentren entre las tendencias en ciberseguridad que consideramos que serán relevantes en 2025.

Independientemente de la normativa, nos corresponde a todos permanecer alerta ante los distintos tipos de enfoques que pueden aportar herramientas como esta. Esta preparación ayuda a contener los avances de los ciberdelincuentes.