Top 10 de vulnerabilidades en aplicaciones LLM como ChatGPT

 OWASP ha publicado un ranking con las principales vulnerabilidades en aplicaciones LLM para ayudar a las compañías a fortalecer la seguridad de las IA generativas

Si hay una tecnología que ha acaparado la atención de la opinión pública en lo que va de año esa es, sin duda, las aplicaciones LLM, es decir, sistemas que emplean modelos de lenguaje extenso (Large Lenguage Model, en inglés) y complejos algoritmos de aprendizaje para entender el lenguaje humano y generarlo. La más célebre de estas aplicaciones es ChatGPT, la IA generativa de texto propiedad de OpenAI, pero ya existen en el mercado decenas de aplicaciones LLM.

Al calor del auge de estas IA, OWASP acaba de publicar la versión 1 de su Top 10 de vulnerabilidades en aplicaciones LLM. Este ranking, elaborado por una fundación que se ha convertido en un referente mundial en prevención de riesgos y lucha contra las ciberamenazas, pone el foco en los principales riesgos que deben tener en cuenta tanto las empresas que desarrollan estas aplicaciones, como las compañías que las emplean en su día a día.

El Top 10 de vulnerabilidades en aplicaciones LLM de OWASP tiene como misión educar y concienciar a desarrolladores, diseñadores y organizaciones de los riesgos potenciales a los que se enfrentan a la hora de desplegar y gestionar esta tecnología disruptiva. En cada vulnerabilidad se incluye:

• Definición
• Ejemplos comunes de la vulnerabilidad
• Escenarios de ataque
• Forma de prevenirla

A continuación, vamos a desgranar el top 10 de vulnerabilidades en aplicaciones LLM de OWASP, así como la forma de prevenirlas para evitar incidentes de seguridad que puedan dañar a las compañías y a sus clientes.

1. Inyecciones de prompts

La primera posición del Top 10 de vulnerabilidades en aplicaciones LLM lo ocupan las inyecciones de prompts. Los actores hostiles manipulan los LLM a través de prompts que fuerzan a las aplicaciones a ejecutar las acciones que desea el atacante. Esta vulnerabilidad puede explotarse mediante:

• Inyecciones directas de prompts, conocidas como «jailbreaking» y que se producen cuando un actor hostil es capaz de sobrescribir o revelar el prompt subyacente del sistema. ¿Qué implica esto? Que los atacantes puedan explotar sistemas backend interactuando con funciones inseguras y almacenes de datos.
• Inyecciones indirectas de prompts. Esto tiene lugar cuando una aplicación LLM acepta entradas de fuentes externas que puedan ser controladas por actores hostiles, como, por ejemplo, páginas web. De tal forma que el atacante embebe una inyección de prompt en el contenido externo, procediendo a secuestrar el contexto de conversación, lo que le permitiría manipular a los usuarios o sistemas adicionales a los que la aplicación puede acceder.

Desde OWASP señalan que los resultados de un ataque exitoso son muy variados y pueden ir desde la obtención de información confidencial hasta influir en procesos críticos de toma de decisiones. Es más, en los ataques más sofisticados, la aplicación LLM comprometida puede convertirse en una herramienta al servicio del atacante, llegando a interactuar con plugins en la configuración del usuario y permitiéndole al agresor tener acceso a datos confidenciales del usuario objetivo del ataque, sin que este sea alertado de la intrusión.

1.1. Prevención

El Top 10 de vulnerabilidades en aplicaciones LLM señala que las inyecciones de prompts son posibles por la propia naturaleza de estos sistemas, ya que no segregan las instrucciones de los datos externos. Y como los LLM utilizan lenguaje natural, consideran que ambos tipos de inputs son proporcionados por los usuarios legítimos. De ahí que las medidas propuestas por OWASP no se puedan lograr una prevención total de estas vulnerabilidades, pero sí sirvan para mitigar su impacto:

1. Controlar el acceso de la aplicación LLM a los backends. Es recomendable aplicar el principio del mínimo privilegio y restringir el acceso del LLM, otorgándole el nivel de acceso mínimo para que pueda realizar sus funciones.
2. Establecer que la aplicación tenga que obtener la autorización del usuario para realizar acciones como el envío o borrado de emails.
3. Separar el contenido externo de los prompts del usuario. OWASP pone como ejemplo la posibilidad de utilizar ChatML para las llamadas a la API de Open AI, de cara a indicar al LLM la fuente de entrada del prompt.
4. Establecer límites de confianza entre la aplicación LLM, las fuentes externas y los plugins empleados. Se podría tratar a la aplicación como un usuario no confiable, estableciendo que el usuario final mantenga el control de la toma de decisiones. Aunque debemos ser conscientes de que una aplicación LLM comprometida puede actuar como man-in-the-middle y ocultar o manipular información antes de que esta le sea mostrada al usuario.

2. Tratamiento inseguro de los outputs

El segundo puesto del Top 10 de vulnerabilidades en aplicaciones LLM lo ocupa el tratamiento inseguro de los outputs del modelo de lenguaje. ¿Qué significa esto? Se acepta el output sin escrutarlo previamente, llegando a trasladarlos directamente al backend, o funcionalidades privilegiadas. A lo que se debe sumar el hecho de que el contenido que genera una aplicación LLM puede ser controlada a través de la introducción de prompts, como señalamos en el apartado anterior. De tal forma que se estaría proporcionando a los usuarios un acceso indirecto a funciones adicionales.

¿Cuáles son las posibles consecuencias de explotar esta vulnerabilidad? Escalado de privilegios, ejecución remota de código en los sistemas backend e, incluso, si la aplicación es vulnerable a los ataques de inyección externos, el actor hostil podría tener obtener acceso privilegiado al entorno del usuario objetivo.

2.1. Prevención

La guía de OWASP sobre el Top 10 de vulnerabilidades en aplicaciones LLM recomienda dos acciones para actuar ante este riesgo:

1. Tratar al modelo como si fuese un usuario, asegurando la validación y sanitización de las respuestas del modelo dirigidas a las funciones backend.
2. Codificar los outputs del modelo de vuelta a los usuarios, de cara a mitigar la ejecución de código malicioso.

3. Envenenamiento de los datos de entrenamiento

Uno de los aspectos clave de las aplicaciones LLM son los datos de entrenamiento que se suministran a los modelos. Dichos datos deben ser numerosos, diversos y abarcar una amplia gama de idiomas. Los modelos de lenguaje extenso emplean redes neuronales para conseguir generar resultados, basándose en los patrones que aprenden gracias a los datos de entrenamiento, de ahí que estos datos sean tan relevantes.

Por ello mismo, también, son un objetivo prioritario para los actores hostiles que desean manipular las aplicaciones LLM. Gracias al envenenamiento de los datos de entrenamiento se puede:

• Introducir backdoors o sesgos que menoscaben la seguridad del modelo.
• Alterar el comportamiento ético del modelo, una cuestión de capital importancia.
• Provocar que la aplicación ofrezca a los usuarios información falsa.
• Degradar el rendimiento del modelo y sus capacidades.
• Generar daños en la reputación de las compañías.

De ahí que el envenenamiento de los datos de entrenamiento sea un problema para la ciberseguridad y para el modelo de negocio de las compañías que desarrollan aplicaciones LLM. Puesto que puede provocar que el modelo sea incapaz de emitir predicciones correctas e interactuar de forma eficaz con los usuarios.

3.1. Prevención

El Top 10 de vulnerabilidades en aplicaciones LLM de OWASP propone cuatro grandes medidas para prevenir el envenenamiento de los datos de entrenamiento:

1. Verificar la legitimidad de las fuentes de datos empleadas en el entrenamiento del modelo, pero también a la hora de perfeccionarlo.
2. Diseñar diferentes modelos a partir de datos de entrenamiento segregados y concebidos para casos de usos distintos. Lo que se traduce en una IA generativa más granular y precisa.
3. Emplear filtros más estrictos para los datos de entrenamiento y las fuentes de datos, de cara a detectar datos falsificados y sanear los datos que se empleen para la formación del modelo.
4. Analizar los modelos de entrenamiento para detectar señales de envenenamiento. Así como analizar test para evaluar el comportamiento del modelo. En este sentido, resultan de gran valor añadido las evaluaciones de seguridad a lo largo de todo el ciclo de vida de la aplicación LLM y la puesta en marcha de ejercicios de Red Team especialmente diseñados para este tipo de aplicaciones.

4. Ataques de denegación de servicio contra el modelo

Los ataques DoS son una práctica habitual que ponen en marcha los actores maliciosos contra activos IT de las compañías como las aplicaciones web. Pues bien, los ataques de denegación de servicio también pueden afectar a las aplicaciones LLM.

Un atacante interactúa con la aplicación LLM para obligarla a consumir una enorme cantidad de recursos, provocando:

• La degradación del servicio que presta la aplicación a sus usuarios.
• El aumento de los costes en recursos que tiene que asumir la compañía.

A mayores, esta vulnerabilidad podría abrir la puerta a que un atacante interfiera o manipula la ventana de contexto del LLM, es decir, la longitud máxima de texto que el modelo es capaz de manejar, tanto en lo que se refiere a los inputs como a los outputs. ¿Por qué podría ser muy grave esta acción? La ventana de contexto se establece al crear la arquitectura del modelo y estipula lo complejos que pueden llegar a ser los patrones lingüísticos que el modelo es capaz de comprender, así como el tamaño de texto que puede procesar.

Si tenemos en cuenta que el uso de las aplicaciones LLM va en aumento, gracias a la popularización de soluciones como ChatGPT, esta vulnerabilidad está a llamada a ser cada vez más relevante en lo que respecta a la seguridad, puesto que el número de usuarios y el uso intensivo de recursos será cada vez mayor.

4.1. Prevención

En su Top 10 de vulnerabilidades en aplicaciones LLM, OWASP recomienda:

1. Implementar la validación y sanitización de los imputs para asegurarse de que los inputs cumplen con los límites definidos a la hora de crear el modelo.
2. Limitar el uso máximo de recursos por solicitud.
3. Establecer límites de velocidad en la API para restringir el número de solicitudes que un usuario o una dirección IP puede llegar a hacer.
4. Limitar, también, el número de acciones en cola y el número total de acciones en el sistema que reacciona a las respuestas del modelo.
5. Monitorizar de forma continua el consumo de recursos de la aplicación LLM para identificar comportamientos anómalos que puedan servir para detectar ataques DoS.
6. Estipular límites estrictos en lo que respecta a la ventana de contexto, para prevenir sobrecargas y agotamiento de recursos.
7. Concienciar a los desarrolladores de las consecuencias que puede llegar a provocar un ataque DoS exitoso en una aplicación LLM.

5. Vulnerabilidades de la cadena de suministro

Del mismo modo que en las aplicaciones tradicionales, las cadenas de suministro de aplicaciones LLM también están sujetas posibles vulnerabilidades, las cuales podrían llegar a afectar a:

• La integridad de los datos de entrenamiento
• Los modelos de Machine Learning
• Las plataformas de despliegue de los modelos

La explotación exitosa de vulnerabilidades en la cadena de suministro puede provocar que:

• El modelo genere resultados sesgados o incorrectos.
• Se produzcan brechas de seguridad.
• Un fallo generalizado en el sistema que amenace la continuidad de negocio.

El auge del Machine Learning ha traído consigo la aparición de modelos pre-entrenados y datos de entrenamiento procedentes de terceros, dos cuestiones que facilitan la creación de aplicaciones LLM, pero que llevan aparejados riesgos asociados a la cadena de suministro:

• Uso de software desactualizado.
• Modelos pre-entrenados susceptibles de ser atacados.
• Datos de entrenamiento envenenados.
• Plugins inseguros.

5.1. Prevención

Para prevenir los riesgos asociados a la cadena de suministro de las aplicaciones LLM, OWASP recomienda:

• Verificar las fuentes de datos que se usan para entrenar y perfeccionar el modelo, así como emplear sistemas de seguridad auditados por profesionales independientes.
• Utilizar plugins de confianza.
• Poner en marcha las mejores prácticas en materia de Machine Learning en lo relativo a los modelos propios.
• Realizar una monitorización continua para detectar vulnerabilidades.
• Mantener una política de aplicación de parches eficiente para mitigar vulnerabilidades y gestionar los componentes obsoletos.
• Auditar regularmente la seguridad de los proveedores, así como su acceso al sistema.

6. Revelación de información sensible

Al abordar el sexto ítem del Top 10 de vulnerabilidades en aplicaciones LLM, OWASP alerta de que los modelos pueden llegar a revelar información sensible y confidencial a través de los resultados que ofrecen a los usuarios. Esto implica que los actores hostiles podrían acceder a datos sensibles, robar propiedad intelectual o vulnerar la privacidad de las personas.

De ahí que sea importante que los usuarios entiendan los riesgos asociados a introducir voluntariamente datos en una aplicación LLM, puesto que esta información puede llegar a ser devuelta en otro lugar. Por ello, las empresas propietarias de aplicaciones LLM tienen que informar debidamente cómo procesan los datos e incluir la posibilidad de que estos no sean incluidos en los datos empleados para entrenar al modelo.

Asimismo, las compañías deben aplicar mecanismos de cara a evitar que los datos de los usuarios acaben formando parte del modelo de datos de entramiento sin su consentimiento explicito.

6.1. Prevención

Algunas de las acciones que pueden poner en marcha las empresas propietarias de aplicaciones LLM son:

• Emplear técnicas de limpieza y depuración de los datos.
• Implementar técnicas eficaces para validar los inputs y sanearlos.
• Limitar el acceso a fuentes de datos externas.
• Cumplir con la regla del mínimo privilegio a la hora de entrenar a los modelos.
• Securizar la cadena de suministro y controlar el acceso al sistema de forma eficaz.

 

7. Diseño inseguro de plugins

¿Qué son los plugins LLM? Extensiones que son llamadas automáticamente por el modelo durante las interacciones con el usuario. En muchos casos no existe un control sobre su ejecución. De tal forma que un actor hostil podría realizar una petición maliciosa al plugin, lo que le abriría la puerta a, incluso, realizar una ejecución remota de código malicioso.

Por ello, es muy importante que los plugins dispongan de controles de acceso sólidos, para no confiar ciegamente en otros plugins y creer que el usuario legítimo proporcionó los inputs con fines maliciosos. De lo contrario, estas entradas maliciosas pueden provocar:

• Exfiltración de datos.
• Ejecución remota de código.
• Escalada de privilegios.

7.1. Prevención

El Top 10 de vulnerabilidades en aplicaciones LLM recomienda, en lo relativo al diseño de los plugins, poner en marcha estas medidas:

• Aplicar de forma estricta una parametrización de la entrada y realizar las comprobaciones necesarias para garantizar la seguridad.
• Aplicar las recomendaciones definidas por OWASP ASVS (Application Security Verification Standard) para asegurar la correcta validación y saneamiento de la entrada de datos.
• Llevar a cabo pruebas de seguridad de aplicaciones de manera continua: SAST, DAST, IAST…
• Utilizar identidades de autenticación y claves de API para garantizar medidas de autenticación y control de acceso.
• Requerir la autorización y la confirmación del usuario para las acciones realizadas por plugins sensibles.

8. Funcionalidades, permisos o autonomía excesivos

Para abordar este ítem del Top 10 de vulnerabilidades en aplicaciones LLM, OWASP emplea el concepto de «Excessive Agency» para alertar de los riesgos vinculados a otorgar a un LLM funcionalidades, permisos o autonomía excesivos. Un LLM que no funcione de forma adecuada (como consecuencia de una inyección o un plugin maliciosos, indicaciones mal diseñadas o bajo rendimiento) puede realizar acciones perjudiciales.

Otorgar funcionalidades, permisos o autonomía excesivos a un LLM puede generar consecuencias que afecten a la confidencialidad, integridad y disponibilidad de los datos.

8.1. Prevención

Para acometer con éxito los riesgos vinculados a la «Excessive Agency», OWASP recomienda:

• Limitar los plugins y las herramientas a los que los LLM pueden llamar y, también, las funciones de los plugins y herramientas de los LLM al mínimo necesario.
• Exigir la aprobación del usuario para todas las acciones y llevar a cabo un seguimiento eficaz de la autorización de cada usuario.
• Registrar y supervisar la actividad de los plugins y herramientas LLM para identificar acciones indeseadas y poder responder frente a ellas.
• Aplicar medidas ‘rate limiting’ para reducir el número de posibles acciones no deseadas.

9. Exceso de confianza

Según la guía del Top 10 de vulnerabilidades en aplicaciones LLM de OWASP, el exceso de confianza se produce cuando los sistemas o los usuarios dependen de la IA generativa para tomar decisiones o generar contenido sin una supervisión adecuada.

En este sentido, debemos entender que las aplicaciones LLM pueden crear contenido valioso, pero también pueden generar contenido incorrecto, inapropiado o, incluso, inseguro. Lo que puede dar lugar a desinformación, problemas legales y menoscabar la reputación de la empresa que usa el contenido.

9.1. Prevención

De cara a prevenir el exceso de confianza y las graves consecuencias que puede acarrear no solo a las empresas que desarrollan aplicaciones LLM, sino también a las compañías y personas que las usan, OWASP recomienda:

• Supervisar y revisar de forma periódica los resultados y outputs que arroja el LLM.
• Contrastar los resultados de la IA generativa con fuentes de información fiables.
• Mejorar el modelo realizando ajustes para incrementar la calidad y consistencia de los outputs del modelo. En este sentido, la guía de OWASP sostiene que los modelos pre-entrenados con más proclives a arrojar información errónea que los modelos desarrollados para un ámbito determinado.
• Implementar mecanismos de validación automática capaces de contrastar y verificar los resultados generados por el modelo con datos y hechos conocidos.
• Segmentar las tareas en subtareas a cargo de profesionales diferentes.
• Informar a los usuarios de los riesgos y limitaciones de la IA generativa.
• Desarrollar APIs e interfaces de usuario que fomenten la responsabilidad y seguridad a la hora de usar las IA generativas, incorporando medidas como filtros de contenido, advertencias de posibles incoherencias o etiquetado del contenido generado con IA.
• Establecer prácticas de código segura y guías de trabajo para evitar la integración de vulnerabilidades en los entornos de desarrollo.

10. Robo del modelo

El último puesto del Top 10 de vulnerabilidades en aplicaciones LLM de OWASP lo ocupa el robo del modelo, es decir, el acceso no autorizado y la filtración de los modelos LLM por parte de actores maliciosos o grupos APT.

¿Cuándo se produce esta vulnerabilidad? Cuando un modelo patentado se ve comprometido, es robado físicamente, copiado o los parámetros necesarios para crear un modelo equivalente son sustraídos.

El impacto de esta vulnerabilidad en las compañías propietarias de las IA generativas incluye cuantiosas pérdidas económicas, menoscabo de la reputación, pérdida de ventaja competitiva frente a otras empresas, uso inadecuado del modelo y acceso indebido a información sensible.

Las organizaciones deben tomar todas las medidas necesarias para proteger la seguridad de sus modelos LLM, garantizando su confidencialidad, integridad y disponibilidad. Ello pasa por diseñar e implementar un marco de seguridad integral eficaz a la hora de salvaguardar los intereses de las compañías, sus trabajadores y usuarios.

10.1. Prevención

¿Cómo pueden prevenir las compañías el robo de sus modelos LLM?

• Implementando controles de acceso y autenticación estrictos.
• Restringiendo el acceso a los recursos de la red, servicios internos y API, para prevenir los riesgos y amenazas internas.
• Supervisando y auditando los accesos a los repositorios del modelo, para responder frente a comportamientos sospechoso o que actuaciones que carecen de autorización.
• Automatizando el despliegue de operaciones de Machine Learning.
• Implementando controles de seguridad y poniendo en marcha estrategias de mitigación.
• Limitando el número de llamadas a la API para reducir el riesgo de exfiltración de datos y empleando técnicas para detectar extracciones indebidas.
• Empleando un framework de marca de agua en todo el ciclo de vida de la aplicación LLM.

11. IA generativas y ciberseguridad

El Top 10 de vulnerabilidades en aplicaciones LLM de OWASP evidencia la importancia de contar con profesionales de ciberseguridad experimentados y altamente cualificados para hacer frente al complejo panorama de ciberamenazas con éxito.

Si las IA generativas se consolidan como una de las tecnologías más relevantes de los próximos años, se convertirán en targets prioritarios de los grupos de delincuentes. De ahí que sea indispensable que las compañías sitúen la ciberseguridad en el centro de sus estrategias empresariales.

En definitiva, el Top 10 de vulnerabilidades en aplicaciones LLM de OWASP pone el foco sobre los riesgos de seguridad asociados a las IA generativas, tecnologías que ya forman parte de nuestras vidas y que son empleadas por miles de empresas y profesionales en su día a día.

ENISA ha desarrollado un framework para ayudar a las compañías a implementar buenas prácticas de ciberseguridad para la IA

 La compañía Worldcoin, creada por el fundador de ChatGPT, ha creado un sistema de IA pensado para diferenciar a los seres humanos de los robots, una vez que la Inteligencia Artificial sea omnipresente. Una cuestión largamente imaginada por la literatura o la cultura audiovisual y que cada día es más real. Para ello, necesitan escanear el globo ocular de la población. Esta noticia evidencia que los sistemas de Inteligencia Artificial ya disponen de una enorme cantidad de datos sobre los ciudadanos y las empresas.

Por ello, es fundamental que las empresas que desarrollan sistemas de IA y sus proveedores pongan en marcha buenas prácticas de ciberseguridad para la IA, de cara a prevenir ciberataques e incidentes de seguridad.

De cara a facilitar esta tarea, la Agencia Europea para la Ciberseguridad (ENISA) acaba de hacer público un framework de buenas prácticas de ciberseguridad para la IA (FAICP). Este marco se basa en las investigaciones y publicaciones recurrentes que ha llevado a cabo la agencia en los últimos años y, en especial, este 2023.

A continuación, vamos a desgranar las claves de este framework para implementar buenas prácticas de ciberseguridad para la IA, poniendo en valor la necesidad de que las compañías dispongan de estrategias de seguridad avanzadas y puedan evaluar con eficacia el riesgo dinámico de ciberseguridad al que se enfrentan.

1. El complejo panorama de amenazas de la Inteligencia Artificial

¿Por qué es tan importante que las organizaciones pongan en marcha buenas prácticas en ciberseguridad para la IA?

Machine Learning, Deep Learning, procesamiento de lenguaje natural, robots, reconocimiento de voz… Bajo el paraguas de la Inteligencia Artificial nos podemos encontrar con diversas tecnologías que juntas o por separado están transformando ya múltiples sectores económicos.

La explosión de la Inteligencia Artificial y su creciente impacto en la sociedad y la economía trae consigo un panorama de amenazas cada vez más complejo.

1.1. Robo, manipulación, destrucción… Categorizando las amenazas

ENISA ha efectuado un mapeo de todas las amenazas, sistematizándolas en ocho grandes categorías:

Actividad nefasta y abusos

Acciones maliciosas que buscan robar información, alterar o destruir objetivos específicos, como podría ser el modelo empleado por una IA generativa. ENISA lista una treintena de amenazas específicas, que van desde el sabotaje de modelos, hasta el envenenamiento de datos, pasando por ataques DDoS contra sistemas de IA o comprometer la validación de los datos de entrenamiento de Machine Learning o su confidencialidad.

Espionaje, interceptación y hijacking

En esta categoría se engloban las acciones cuyo objetivo es obtener información confidencial o interrumpir el funcionamiento de un sistema de IA. Estamos hablando, por ejemplo, de inferencia o robo de datos, así como de divulgación ilegítima del modelo de una IA.

Ataques físicos

Estas amenazas buscan destruir o sabotear los activos. Por ejemplo, lanzando ataques físicos contra las infraestructuras del sistema de IA, manipulando las redes de comunicación o saboteando el modelo.

Daños no intencionados o accidentales

Las amenazas no solo incluyen ataques dirigidos, sino también errores y fallos no intencionados que pueden: comprometer y limitar los resultados de la IA, afectar a la exactitud de los datos inferidos por el sistema o provocar configuraciones erróneas de los modelos.

Fallos o disfunciones

Esta categoría gira en torno a los problemas de funcionamiento de un sistema de IA. El listado de ENISA incluye más de 10 amenazas: degradación del rendimiento de un modelo ML, datos insuficientes, fallos de un proveedor, corrupción de los índices de datos…

Interrupciones

Si la infraestructura TIC, los sistemas o las redes de comunicación sufren interrupciones, el servicio del sistema de IA también se ve interrumpido.

Catástrofes

Tales como desastres naturales o fenómenos medioambientales.

Legales

Por ejemplo, que se vea comprometida la privacidad de los datos empleados por una IA, que se divulgue información personal o que los proveedores no cumplan con sus obligaciones en materia de protección de datos.

2. FAICP, tres niveles de buenas prácticas de ciberseguridad para la IA

A la luz de esta diversa y creciente panorámica de amenazas, ENISA ha elaborado un marco de buenas prácticas de ciberseguridad para la IA con tres grandes objetivos en el punto de mira:

1. Proteger las infraestructuras TIC y la IA alojada en ellas, teniendo en cuenta tanto el ciclo de vida de la Inteligencia Artificial, como todos los elementos de la cadena de suministro de la IA y los procesos y tecnologías asociadas a ella.
2. Recopilar información sobre los requisitos de ciberseguridad para la IA de los estados miembros de la Unión Europea.
3. Señalar los retos a los que nos enfrentamos en materia de seguridad de la IA, así como las lagunas existentes en las prácticas de ciberseguridad actuales, de cara a optimizarlas y fortalecer la protección de los sistemas de IA y de todas las empresas y ciudadanos que interactúan con sistemas de Inteligencia Artificial.

El resultado es un framework de buenas prácticas de ciberseguridad para la IA estructurado en torno a tres capas o niveles:

• Capa 1. Recoge buenas prácticas de ciberseguridad para proteger los entornos TIC donde se alojan, desarrollan, integran, mantienen o distribuyen los sistemas de IA.
• Capa 2. Presenta prácticas de ciberseguridad centradas en las especificidades de la IA: ciclo de vida, propiedades, amenazas específicas, controles de seguridad…
• Capa 3. Incluye prácticas de ciberseguridad específicas para compañías de sectores críticos como la salud, la automoción o la energía. Esta capa del framework está pensada para los sistemas de IA que sean categorizados como de alto riesgo en el futuro reglamento de la IA que se aprobará, previsiblemente, a finales de año en la Unión Europea.

3. Securizar el ecosistema TIC de las IA (Capa 1)

Los sistemas de IA no se desarrollan, despliegan y mantienen en el vacío, sino que forman parte de un ecosistema TIC que los aloja. La ciberseguridad es la disciplina encargada de proteger los activos tecnológicos de las empresas y administraciones públicas y, por supuesto, de los ecosistemas de las IA. Lo que implica garantizar la confidencialidad, integridad, autenticidad y disponibilidad de la infraestructura.

Para ello, las compañías han de llevar a cabo una gestión de la seguridad eficiente e integral, disponiendo de servicios de ciberseguridad para:

• Analizar los riesgos, evaluando las amenazas y vulnerabilidades, así como el impacto de un incidente de seguridad exitoso.
• Gestionar los riesgos. Con la información obtenida en las evaluaciones de seguridad se debe priorizar la mitigación de las amenazas y vulnerabilidades, implementando contramedidas eficaces para proteger a los activos empresariales, teniendo en cuenta los recursos disponibles.

Asimismo, las compañías también pueden contratar servicios de Threat Hunting proactivo para escrutar a los actores hostiles potenciales, descubrir las tácticas, técnicas y procedimientos que emplean, mejorar las capacidades de detección y respuesta e incrementar su resiliencia frente a las amenazas persistentes avanzadas (APT).

Todas estas buenas prácticas de ciberseguridad suponen un primer nivel de protección de los sistemas de IA. ¿Por qué? Buscan garantizar que estos sistemas operen en un entorno seguro.

Además, debemos señalar que la gestión de la seguridad de las infraestructuras TIC es una cuestión no solo de capital importancia, sino de obligatorio cumplimiento para muchas empresas en el seno de la Unión Europea tras la aprobación en los últimos años de las directivas NIS y NIS2, el RGPD o la Cybersecturity Act (CSA).

4. Implementar acciones específicas para proteger a los sistemas de IA (Capa 2)

La capa más importante en el marco de buenas prácticas de ciberseguridad para la IA es la segunda, puesto que aborda, directamente, buenas prácticas diseñadas para proteger a los sistemas de IA.

Como ya señalamos antes, la aprobación del reglamento europeo sobre IA es inminente y ya se conoce el borrador propuesto por la Comisión y enmendado por el Parlamento Europeo, a falta de que se negocie con el Consejo. Dicho borrador establece que todos los sistemas de IA que se comercialicen en la UE deberán ser seguros y respetar los derechos fundamentales de la Unión.

Esto implica poner en marcha una estrategia de seguridad integral para proteger los activos que conforman los sistemas de IA:

• Datos: datos en bruto, datos de entrenamiento, datos de testeo…
• Modelos: algoritmos, modelos, parámetros de modelos…
• Artefactos: frameworks de modelos, políticas de gestión de los datos…
• Actores involucrados: propietarios de los datos, científicos de datos, ingenieros de datos, proveedores de modelos…
• Procesos: recolección de datos, procesamiento de datos, entrenamiento y ajuste de los modelos…
• Entorno y herramientas: librerías de algoritmos, plataformas de Machine Learning, entornos de desarrollo integrados…

4.1. Evaluaciones de seguridad de las IA

Más allá de las evaluaciones de seguridad tradicionales, ENISA recomienda a las compañías que desarrollan, alojan o integran sistemas de IA emplear esfuerzos adicionales para evaluar los riesgos específicos de esta tecnología:

• Incluir las amenazas que figurarán en el futuro reglamento europeo de la IA: pérdida de transparencia, pérdida de interpretabilidad, pérdida de gestión de los sesgos y pérdida de rendición de cuentas.
• Optimizar las tipologías de factores de impacto: solidez, resiliencia, imparcialidad, explicitud.
• Optar por una evaluación del riesgo dinámico de ciberseguridad, poniendo el foco en la detección de anomalías.

4.1.1. Analizar y monitorear amenazas y vulnerabilidades

El objetivo debe ser disponer de los mecanismos y buenas prácticas necesarios para hacer frente a las principales amenazas para la seguridad de los sistemas de IA y, en especial, a los sistemas de Machine Learning, como las IA generativas, que son el objetivo más atractivo para los actores hostiles:

• Evasión. Los atacantes buscan vulnerar los inputs del algoritmo del sistema IA para explotar los outputs. Las perturbaciones de entrada que se generan se denominan ejemplos adversarios.
• Envenenamiento. Los actores hostiles alteran los datos o el modelo de la IA, con el objetivo de modificar el comportamiento del algoritmo, cumpliendo con sus objetivos delictivos: sabotear el sistema de IA, insertar una puerta trasera en el sistema…
• Revelación del modelo o los datos. Esta amenaza incluye las filtraciones de información, de origen interno o externo, que afectan al modelo, sus parámetros o los datos de entrenamiento.
• Compromiso de los componentes de una aplicación de IA. Por ejemplo, los actores hostiles logran explotar con éxito vulnerabilidades en una librería de código abierto empleada en el desarrollo del algoritmo de la IA.
• Fallo o funcionamiento deficiente de una aplicación de IA. Por ejemplo, mediante un ataque de DoS exitoso, la introducción de un input malicioso o la existencia de un error en el código que no se ha detectado.

Estas grandes categorías de amenazas se pueden trasladar a un mapa de vulnerabilidades concretas que pueden estar presentes en los sistemas de IA o en sus cadenas de suministro: gestión ineficaz del acceso a la información crítica, uso de componentes vulnerables para desarrollar el sistema de IA, control deficiente de los datos que recupera el modelo o que la evaluación de seguridad del sistema de IA no está integrada en la estrategia de seguridad de la organización para mejorar su resiliencia.

4.2. Gestión de la seguridad de las IA

La gestión de la seguridad es esencial para proteger a los sistemas frente a las amenazas y detectar vulnerabilidades antes de que sean explotadas con éxito. Para ello, es fundamental implementar controles de seguridad y llevar a cabo pruebas de seguridad basándose en la información recopilada durante las evaluaciones de seguridad.

Asimismo, en lo que respecta a los sistemas de Inteligencia Artificial hay que tener en cuenta un aspecto esencial de los mismos: su fiabilidad. El marco de buenas prácticas de ciberseguridad para la IA de ENISA define la fiabilidad como «la confianza en que los sistemas de IA se comportarán dentro de las normas especificadas, en función de algunas características». Estas características se pueden sistematizar en tres grandes grupos:

• Características técnicas de diseño: precisión, fiabilidad, robustez, resiliencia.
• Características socio-técnicas: explicitud, interpretabilidad, privacidad, seguridad, gestión de los sesgos.
• Principios que contribuyen a la fiabilidad del sistema de IA: imparcialidad, responsabilidad, transparencia.

4.2.1. Controles de seguridad

El marco de buenas prácticas de ciberseguridad para la IA de ENISA propone diversos controles de seguridad específicos para prevenir y mitigar las principales amenazas que venimos de señalar y garantizar la fiabilidad de los sistemas:

• Evasión. Implementar herramientas para detectar si un input se trata de un ejemplo adverso, recurrir al entrenamiento de adversarios para robustecer la seguridad del modelo o emplear modelos que no sean fácilmente transferibles, para evitar que los actores hostiles puedan estudiar el algoritmo del sistema de IA.
• Envenenamiento. Para prevenir los ataques de envenenamiento es fundamental securizar los componentes del sistema a lo largo de todo su ciclo de vida, evaluar de forma continua la ciberexposición del modelo que emplea el sistema, ampliar el tamaño del conjunto de datos para reducir la capacidad de las muestras maliciosas de influir en el modelo e implementar mecanismos de pre-procesamiento para limpiar los datos de entrenamiento.
• Revelación de modelos o datos. Los mecanismos para controlar el acceso deben ser robustos.
• Compromiso de los componentes de la aplicación de IA. Reducir el nivel de compromiso de los componentes pasa por aplicar políticas de seguridad adecuadas e integradas en la estrategia de seguridad de la organización, así como en la gestión de los activos IT.
• Fallo o funcionamiento deficiente de la aplicación de IA. De cara a prevenir los fallos de las aplicaciones de IA es fundamental que los algoritmos presenten un sesgo reducido y se evalúen continuamente para garantizar su resistencia en el entorno en el que van a operar, además, han de ser explicables para poder detectar vulnerabilidades en ellos.

4.2.2. Pruebas de seguridad

Las pruebas de seguridad de las IA tienen numerosos puntos en común con las pruebas de seguridad de las aplicaciones de software tradicionales, pero también deben atender a las especificidades de esta tecnología:

• Las diferencias entre la IA subsimbólica y los sistemas tradicionales repercuten en la seguridad y en cómo se efectúan las pruebas.
• Los sistemas de IA pueden evolucionar con el paso del tiempo gracias al autoaprendizaje, lo que supone que las propiedades de seguridad puedan degradarse. De ahí que los test dinámicos sean esenciales para comprobar la eficiencia de los controles de seguridad implementados.
• En los sistemas de IA los datos de entrenamiento conforman el comportamiento de la IA subsimbólica, en contraste con los sistemas de software tradicionales.

Por ello, siguiendo el informe sobre pruebas de seguridad para IA del ETSI, se debe:

• Emplear nuevos enfoques en lo relativo a las pruebas de seguridad para la IA.
• Usar oráculos de pruebas de seguridad para la IA, de cara a determinar cuándo se ha superado con éxito un test, es decir, cuándo no se ha podido detectar ninguna vulnerabilidad, y cuándo se detectó una vulnerabilidad.
• Definir criterios de adecuación de las pruebas de seguridad para la IA, con el objetivo de poder medir el progreso global en materia de ciberseguridad y establecer cuándo se debe parar una prueba de seguridad.

5. Buenas prácticas de ciberseguridad para sectores específicos (Capa 3)

El tercer nivel del marco de buenas prácticas de ciberseguridad para la IA está centrado en proponer medidas específicas para algunos sectores críticos a nivel económico y social, en los que, además, la Inteligencia Artificial ya juega un papel fundamental:

• Energía. La ciberseguridad de este sector se puede ver lastrada por el uso de tecnologías con vulnerabilidades conocidas, inexistencia de una cultura de la ciberseguridad entre empresas, proveedores y contratistas o sistemas de control anticuados.
• Salud. Los ciberataques a hospitales y centros médicos han ido en aumento en los últimos tiempos. Para muestra, el ciberataque que paralizó la actividad del Hospital Clínic de Barcelona. Los delincuentes pueden atacar los dispositivos médicos, los canales de comunicación y las aplicaciones. La IA está llamada a jugar un papel esencial en el terreno de la salud, de ahí que sea fundamental proteger los modelos y datos de estos sistemas.
• Automoción. La automoción es un sector que siempre ha estado a la vanguardia de la robotización y el uso de soluciones de IA. Tal es así que la producción de vehículos autónomos puede suponer un cambio radical en nuestra economía y sociedad, de ahí que la ciberseguridad sea esencial para evitar:
• Ciberataques contra los modelos de procesamiento de imágenes que permiten reconocer señales de tráfico y detectar carriles.
• Ataques de envenenamiento de datos en la detección de señales de stop.
• Ataques relacionados con despliegues a gran escala de firmwares fraudulentos.
• Telecomunicaciones. La integración de sistemas de IA puede ser esencial para disponer de redes capaces de auto-optimizarse, usar el análisis predictivo para mejorar el mantenimiento e incrementar la seguridad detectando actividades fraudulentas. Lo que implica disponer de una estrategia de seguridad robusta que proteja a todos los sistemas de IA empleados y evite la manipulación o la interrupción del servicio.

6. El futuro del binomio IA-ciberseguridad

El marco de buenas prácticas de ciberseguridad para la IA diseñado por ENISA evidencia la estrecha relación que existe entre la Inteligencia Artificial y la ciberseguridad, y pone el foco sobre cómo las sinergias entre ambas son esenciales para construir un mundo seguro, más aún, en un momento en el que la IA es cada vez más relevante económica y socialmente.

¿Qué cuestiones estratégicas pueden marcar la diferencia a la hora de construir un ecosistema de IA seguro? ENISA propone al final de la guía sobre buenas prácticas de ciberseguridad para la IA una serie de recomendaciones para los expertos en ciberseguridad y las compañías que desarrollan o integran sistemas de IA.

6.1. Cómo abordar la ciberseguridad de la IA

• Evaluación dinámica de las fuentes y los datos, puesto que la fiabilidad de los algoritmos de las IA depende de ellos.
• Análisis continuo de la seguridad de los datos a lo largo de todo su ciclo de vida, ya que el envenenamiento de los datos se puede llevar a cabo en cualquier momento.
• Frente a las pruebas de seguridad estáticas, se debe optar por una metodología de vanguardia como el riesgo dinámico de ciberseguridad, ya que los sistemas de IA se caracterizan por aprender y evolucionar constantemente. El análisis del riesgo dinámico de ciberseguridad y la priorización de amenazas es esencial para securizar a los sistemas de IA y, en especial, a los de Machine Learning, a lo largo de todo su ciclo de vida.
• La colaboración entre los expertos en ciberseguridad, los científicos de datos y otros profesionales como psicólogos o juristas es fundamental para identificar las nuevas amenazas que vayan surgiendo, tomar contramedidas eficaces y mejorar la resiliencia de los sistemas de IA.

En definitiva, la Inteligencia Artificial es un ámbito en constante evolución que está llamado a generar enormes transformaciones en el tejido productivo y nuestra forma de vivir. Por ello, es fundamental que las estrategias de ciberseguridad presten atención a las especificidades de las IA y protejan los modelos y los datos que estas consumen, pero también a la infraestructura que las aloja.

La colaboración entre expertos en ciberseguridad y los ingenieros y científicos de datos será crucial para construir un ecosistema de IA seguro, fiable y que cumpla con las normativas. Así como la Inteligencia Artificial contribuye a optimizar los servicios de ciberseguridad y aumentar su eficiencia, los conocimientos, técnicas y capacidades de los profesionales de ciberseguridad son esenciales para diseñar, desarrollar, desplegar y mantener sistemas de IA seguros.

¿Cuáles son los riesgos de seguridad de la IA?

 

La Inteligencia Artificial está llamada a revolucionar nuestra economía y nuestro modo de vida, pero ¿cuáles son los riesgos de seguridad de la IA?

Lo que la literatura o el cine plantearon como una posibilidad durante décadas, se ha transformado, hoy en día, en una realidad tangible. La Inteligencia Artificial ya forma parte de nuestras vidas y se ha convertido en una de las grandes cuestiones de esta era, al calor del Machine Learning o la IA generativa. Tal es así que la Inteligencia Artificial está llamada a cambiar nuestro tejido productivo y la forma en la que vivimos. Pero, ¿solo tiene ventajas? ¿Cuáles son los riesgos de seguridad de la IA?

En los últimos años y, en especial, en 2023, diversas organizaciones han incrementado su producción de metodologías y guías para poner el foco sobre los riesgos de seguridad de la IA y ayudar a las compañías a prevenirlos con éxito.

Así, la European Union Agency for Cybersecurity (ENISA) ha publicado diversos frameworks, metodologías e informes que abordan los riesgos de seguridad de la IA y los desafíos a los que deben hacer frente las empresas.

El estadounidense National Institute of Standards and Technology (NIST) ha creado un marco para gestionar los riesgos de seguridad de la IA. Y la fundación OWASP, referente metodológico a nivel global, ha puesto en marcha un proyecto para abordar los riesgos de seguridad de la IA.

Ya en el plano regulatorio, la Unión Europea está dando los últimos pasos en la tramitación y aprobación de la Artificial Intelligence Act. El borrador del reglamento, que ahora deben negociar el Parlamento Europeo y el Consejo, hace especial hincapié en la relación entre ciberseguridad e IA.

A continuación, vamos a desgranar los principales riesgos de seguridad de la IA que las compañías que desarrollan Inteligencia Artificial y las empresas que emplean esta tecnología disruptiva deben tener en cuenta para detectar amenazas, prevenir incidentes de seguridad y cumplir con un marco normativo que cada vez será más exigente.

La IA es una de las grandes aliadas de la ciberseguridad

ChatGPT, Midjourney, DALL-E, Copy AI… 2023 quedará marcado en nuestro recuerdo como el año en que las IA generativas, es decir, capaces de crear contenido y atender a las peticiones de las personas, han acaparado la atención de la opinión pública mundial.

Sin embargo, la historia de la Inteligencia Artificial se puede rastrear desde Alan Turing y ya tiene a sus espaldas lustros de investigación y desarrollo de herramientas de Machine Learning, redes neuronales, Deep Learning o procesamiento de lenguaje natural.

De hecho, la Inteligencia Artificial ya está presente en múltiples dispositivos y tecnologías que usan las empresas y los ciudadanos en su día a día para automatizar tareas u optimizar la toma de decisiones.

En este sentido, la Inteligencia Artificial se ha convertido en una gran aliada de los profesionales de ciberseguridad y las compañías a la hora de fortalecer sus capacidades defensivas y mejorar su resiliencia frente a los ciberataques.

Sin ir más lejos, gracias a las herramientas de Machine Learning ha sido posible automatizar la detección de amenazas o la puesta en marcha de mecanismos de respuesta ante los ataques. Así como optimizar las evaluaciones de seguridad y la priorización de las vulnerabilidades, predecir patrones de ataque de los actores hostiles, extraer información de gran valor añadido de los datos para identificar vulnerabilidades antes que los delincuentes o mejorar los análisis forenses para subsanar los problemas detectados.

Y la ciberseguridad de la IA

Ante la creciente relevancia de los sistemas de IA y sus potencialidades para las empresas y los ciudadanos, los riesgos de seguridad de la IA se han convertido en una cuestión capital en lo relativo a la ciberseguridad.

Así como la Inteligencia Artificial es clave para diseñar y ejecutar los servicios de ciberseguridad, estos son cruciales a la hora de acometer la protección de los sistemas y aplicaciones de IA, en un momento en el que:

• Los ciberdelincuentes comienzan a situar a la IA en sus dianas.
• Los riesgos vinculados a la cadena de suministro son cada vez más elevados.

Datos, modelos, ciberataques… Los riesgos de seguridad de la IA

Si hay un elemento fundamental en lo que respecta a las IA, sobre todo a los sistemas de Machine Learning y Deep Learning son los datos. Puesto que estos sistemas funcionan gracias a modelos que deben entrenarse con datos. Si los datos son numerosos, variados, no presentan sesgos y no han sido manipulados, el modelo podrá funcionar de forma óptima y presentar un alto rendimiento. Por el contrario, si los datos empleados para entrenar a los modelos han sido corrompidos, este presentará un comportamiento manipulado que puede tener consecuencias graves para las compañías y los usuarios.

Partiendo de esta base, debemos señalar que, a la hora de abordar los riesgos de seguridad de la IA, hay que diferenciar entre:

• Las amenazas dirigidas a los sistemas de IA. Es decir, los ataques en los que los propios sistemas de IA son el target: los modelos, los datos…
• El uso malicioso de herramientas de IA para poner en marcha ciberataques contra software y sistemas empresariales o contra particulares.

Riesgos que se ciernen sobre los sistemas de IA

El proyecto puesto en marcha por OWASP para evaluar los principales riesgos de seguridad y privacidad a los que se enfrenta la Inteligencia Artificial señala diversos peligros y presta especial atención a los posibles ataques contra los modelos de IA.

Riesgos de seguridad de datos

El pipeline de la Inteligencia Artificial debe ser considerado como una nueva superficie de ataque, puesto que se encuentra más allá del ámbito tradicional del desarrollo de software. ¿Por qué? Incorpora la ciencia de datos.

Tanto la ingeniería de datos como la ingeniería de modelos son absolutamente esenciales para el desarrollo de sistemas de IA. Y ambas disciplinas requieren de controles de seguridad lo suficientemente robustos como para evitar fugas o envenenamiento de datos, robo de propiedad intelectual o ataques de cadena de suministro.

Por otro lado, hay que tener en cuenta el riesgo vinculado al uso de datos durante el desarrollo de una IA. Para entrenar y testear un modelo, los científicos de datos necesitan trabajar con datos reales, que podrían llegar a ser sensibles. De ahí que se deba establecer un mecanismo de control de acceso riguroso, en el que los científicos solo puedan acceder a la información que necesitan para realizar su trabajo.

Ataques contra modelos de IA

Como señalamos antes, los ataques contra el modelo de una IA son uno de los elementos clave a la hora de abordar la ciberseguridad de la Inteligencia Artificial. Estos ataques de alto riesgo se pueden prevenir:

• Protegiendo el proceso de desarrollo de la IA.
• Ocultando los parámetros del modelo.
• Limitando el acceso a este.
• Implementando un sistema de monitorización para detectar inputs maliciosos.
• Teniendo en cuenta esta clase de ataques durante la fase de entrenamiento del modelo.

De tal forma que es necesario conjugar conocimientos en ciberseguridad con formación en Machine Learning. Asimismo, también se pueden poner en marcha medidas clásicas de la ciberseguridad, como aplicar el principio de mínimo privilegio.

Tipologías de ataque

OWASP recopila los siguientes tipos de ataque contra modelos de IA:

• Envenenamiento de los datos. Si se cambian los datos de entrenamiento, el comportamiento del modelo puede ser manipulado. Lo que permite sabotear el sistema de IA o conseguir que tome las decisiones que el atacante desea.
• Manipulación de los inputs. Este ataque busca manipular a los modelos con datos de entrada engañosos. La inyección de prompts es el ejemplo paradigmático de este tipo de ataque.
• Inferencia de pertenencia. A través de un registro de datos y un acceso de caja negra al modelo se puede determinar si un registro estaba en el grupo de datos de entrenamiento. Esto implica que los actores hostiles puedan saber si una persona padece una determinada enfermedad, forma parte de un partido político o está inscrita en una organización concreta.
• Inversión del modelo o reconstrucción de los datos. Mediante la interacción con un modelo se estiman sus datos de entrenamiento. Si dichos datos son sensibles, se puede ver menoscabada la privacidad.
• Robo de modelos. Al interactuar con un modelo se puede llegar a determinar su comportamiento y copiarlo para entrenar a otro modelo, lo que supone un robo de propiedad intelectual.
• Ataque de cadena de suministro del modelo. Mediante estos ataques se puede manipular el ciclo de vida de un modelo, por ejemplo, contaminando un modelo base que se ha hecho público y logrando corromper a los modelos de Deep Learning que utilicen el aprendizaje por transferencia para afinar ese modelo.

Mantenibilidad del código de IA

Los científicos de datos están centrados en producir modelos de trabajo y no tanto en crear código que sea fácil de leer por otros profesionales. Todo ello dificulta los análisis de código de IA y la detección de fallos o la gestión de vulnerabilidades. De ahí que sea fundamental combinar los conocimientos de los científicos de datos con la formación y experiencia de los ingenieros de software y los expertos en ciberseguridad.

Complejidad de la cadena de suministro de la IA

La Inteligencia Artificial hace más compleja la cadena de suministro de software. En primer lugar, porque los sistemas de IA suelen tener varias cadenas de suministro (de datos, de modelos…) y las fuentes de procedencia pueden ser paralelas o secuenciales. Si a esto le unimos la relevancia de los ataques contra los modelos y el hecho de que el comportamiento de estos no se puede evaluar mediante análisis estáticos, nos encontramos ante un riesgo de gran relevancia.

Por ello, la tradicional lista de materiales de software (SBOM), debe complementarse con la lista de materiales de IA (AIBOM), a la vez que se toman las medidas necesarias para auditar la seguridad de los proveedores. La gestión de la cadena de suministro de IA se convierte así en un aspecto esencial para su seguridad.

Reutilización de código externo de Inteligencia Artificial

Al igual que sucede en el desarrollo de software tradicional, los científicos de datos pueden beneficiarse de código abierto, si bien este puede contener debilidades y vulnerabilidades que afecten a la seguridad y la privacidad. Por ello, es fundamental que se lleve a cabo un control exhaustivo del código reutilizado.

Ciberataques con IA y optimización de las capacidades de los delincuentes

Además de todos los ataques dirigidos contra los sistemas de IA, esta tecnología disruptiva puede ser empleada por los delincuentes para optimizar sus capacidades de ataque. Es decir, los riesgos de seguridad de la IA no solo incluyen las amenazas contra los sistemas. También incorporan la utilización de las Inteligencias Artificiales como herramientas al servicio de los ciberdelincuentes.

En su informe sobre Inteligencia Artificial y ciberseguridad, ENISA pone como ejemplo de ciberataques sofisticados el uso de IA generativa maliciosa para generar deep fakes, manipulando información, voces, imágenes, videos e, incluso, caras.

Pero también tenemos que tener en cuenta ataques que requieren menos recursos y conocimientos. Por ejemplo, usar las IA generativas para crear textos persuasivos con los que atacar a personas, empresas e instituciones a través de técnicas de Ingeniería Social: phishing, smishing, spear-phishing… O recurrir a las IA para decidir qué vulnerabilidades son más fácilmente explotables para atacar a los sistemas corporativos de una organización.

Asimismo, los sistemas de IA pueden ser empleados para optimizar la eficiencia y eficacia del malware empleado por grupos de ciberdelincuentes en diversos aspectos clave: evasión de los mecanismos de detección, adaptación a entornos cambiantes, propagación, persistencia en los sistemas atacados…

Es más, el malware basado en IA puede emplear técnicas de aprendizaje y mejorar su eficacia por sí mismos, ejecutando ataques más exitosos.

Así como los sistemas de IA están en plena expansión, los ciberataques desarrollados a partir de las potencialidades de esta tecnología también están evolucionando a marchas forzadas. De tal forma que, en los próximos años, se volverán más sofisticados y su potencial impacto en las empresas y los ciudadanos será mayor. Por ello, deben reforzarse las estrategias de ciberseguridad, teniendo en cuenta este nuevo abanico de ataques.

Tipos de actores que buscan explotar los riesgos de seguridad de la IA

¿Cuáles son los actores que pueden intentar explotar vulnerabilidades de las IA para cumplir sus objetivos delictivos? ENISA ha categorizado a los actores maliciosos en siete tipologías con características y objetivos diversos:

Ciberdelincuentes

• Cibercriminales. Los grupos de ciberdelincuentes tienen un objetivo claro: lucrarse. Para conseguir beneficios económicos de su actividad delictiva, pueden, o bien servirse de los sistemas de IA como herramientas para realizar ataques, o bien atacar directamente a estos sistemas. Por ejemplo, pirateando chatbots con IA para acceder a información sensible como los datos bancarios de los clientes de una compañía.
• Script kiddies. Esta clase de ciberdelincuentes carece de los conocimientos necesarios para poner en marcha ataques concierto nivel de complejidad y diseñar sus propios software maliciosos, así que se sirven de herramientas de ataque paquetizadas y scripts pre-escritos para poder atacar a sistemas corporativos.

Actores que amenazan el sistema social y económico

• Actores gubernamentales y grupos esponsorizados por los estados. Pensemos, por ejemplo, en grupos APT esponsorizados por países. Estos grupos disponen de una gran cantidad de recursos y una amplia experiencia, lo que les permite desarrollar ataques más sofisticados y complejos. Sus objetivos pueden ir desde atacar sectores e infraestructuras críticas de un país, hasta desestabilizar su sistema democrático alterando elecciones y sembrando desinformación, pasando por el robo de información confidencial de compañías y administraciones públicas.
• Terroristas. Los ciberterroristas buscan causar un daño directo en la vida de las personas, llegando a provocar muertes, por ejemplo, a través de sabotajes a infraestructuras cruciales o sectores tan sensibles como el de la salud. El terrorismo ha sido una lacra constante en lo que va de S. XXI y, ahora, ya no solo es un problema de seguridad, sino también de ciberseguridad.

El fuego amigo y la competencia

• Trabajadores y proveedores de las compañías. Las personas con acceso a elementos críticos de las IA como los modelos o los conjuntos de datos pueden sabotear los sistemas de forma intencionada, por ejemplo, envenenando los datos de entrenamiento. Pero, además, también pueden provocar incidentes de seguridad de forma involuntaria, corrompiendo los datos accidentalmente.
• Empresas rivales. La competencia es cada vez mayor en el sector de la tecnología en general y en lo que respecta a la Inteligencia Artificial en particular, por ello, es posible que se produzcan ataques provenientes de empresas rivales que buscan robar propiedad intelectual o menoscabar la reputación de las compañías que desarrollan o emplean sistemas de IA.

Hacktivistas

Este concepto mezcla el hackeo con el activismo para referirse a los actores hostiles cuya motivación es, esencialmente, ideológica y que buscan hackear los sistemas de IA para evidenciar sus vulnerabilidades y riesgos.

El auge de la Inteligencia Artificial y el protagonismo acaparado por la IA generativa en los últimos tiempos ha acentuado la aparición de voces que alertan sobre los peligros de la IA, no solo a nivel de ciberseguridad.

¿En qué se diferencian los riesgos de la IA de los riesgos tradicionales del software?

Los sistemas de Inteligencia Artificial son software, pero con ciertas particularidades que lo vuelven más complejo y amplían la superficie de ataque del software tradicional.

Por eso, el framework para gestionar los riesgos de la Inteligencia Artificial desarrollado por NIST recopila algunos de los riesgos nuevos asociados al auge de la IA. El NIST también detalla otras amenazas que ya existían en lo relativo al software que empleamos diariamente, pero que se han visto agravadas.

Algunos de estos riesgos no están relacionados directamente con la ciberseguridad. Por ejemplo, los costes computacionales del desarrollo de IA, la complejidad de las tareas de mantenimiento, o el impacto de estas tecnologías en el medio ambiente.

Sin embargo, el framework sí recoge riesgos relacionadas con la seguridad de los sistemas, las organizaciones y los usuarios.

Nuevos y más complejos desafíos en materia de ciberseguridad

1. Los datos empleados en la construcción del sistema de Inteligencia Artificial pueden no representar de forma fidedigna el contexto o el uso previsto del sistema y la calidad de los datos puede repercutir en la fiabilidad de la IA, con las consecuencias negativas que ello conllevaría.
2. La dependencia de los sistemas de IA de los datos que se usan para su entrenamiento.
3. Las modificaciones producidas durante la fase de entrenamiento, sean o no intencionadas, pueden alterar el rendimiento del sistema de IA.
4. Los conjuntos de datos que se usan durante el entrenamiento de una IA pueden quedar obsoletos en el momento de despliegue del sistema, lo que afectaría a los resultados de la IA.
5. La descompensación existente entre la escala y la complejidad de los sistemas de IA y las aplicaciones de software convencionales que los alojan.
6. Los modelos pre-entrenados son claves para facilitar la investigación en IA y desarrollar sistemas con alto rendimiento en menos tiempo y con menos costes. Sin embargo, también pueden incrementar los niveles de incertidumbre estadística y causar problemas de sesgos y reproductibilidad.
7. Múltiples riesgos de privacidad, como consecuencia de la enorme capacidad de agregación de datos de los sistemas de IA.
8. Resulta más difícil realizar pruebas de seguridad de software basadas en IA, puesto que el desarrollo de código de las IA no es igual que el desarrollo de código tradicional y pueden surgir dudas sobre qué y como se debe testear.

Poner en marcha una estrategia de seguridad para los sistemas de IA

Los riesgos de seguridad específicos de los sistemas de IA hacen necesario que las organizaciones pongan en marcha estrategias para gestionar los riesgos de ciberseguridad y privacidad en todas las fases del ciclo de vida de la IA: diseño, desarrollo, despliegue, evaluación y uso.

En este sentido, los servicios de ciberseguridad deben incorporarse al programa de seguridad de las compañías. Modelado de amenazas, análisis de riesgo, capacitación de los profesionales, análisis estáticos y dinámicos, análisis del código, pentesting, ejercicios de Red Team…

De esta forma se podrá fortalecer la seguridad, la resiliencia y la privacidad de los sistemas de IA para lograr:

• Securizar las aplicaciones y la infraestructura IT, escondiendo los parámetros del modelo, para protegerlo frente a los ataques.
• Fortalecer la protección de los nuevos pipelines de desarrollo ligados a la IA.
• Gestionar de forma adecuada los problemas de sesgos en los sistemas de IA.
• Afrontar los riesgos asociados a la IA generativa.
• Hacer frente a los problemas de seguridad vinculados a la evasión, extracción de modelos, disponibilidad de los sistemas y la puesta en marcha de ataques de Machine Learning.
• Analizar y monitorear monitorizar la compleja superficie de ataque de los sistemas de IA para detectar ataques en fases tempranas de la Cyber Kill Chain y comportamientos anómalos.
• Tener en consideración los riesgos vinculados a las tecnologías de IA desarrolladas por terceros.

La investigación en Inteligencia Artificial está en pleno apogeo. Las innovaciones tecnológicas que se producen en este ámbito, pero también en el desarrollo software, deben servir para fortalecer la fiabilidad y rendimiento de los sistemas. También, su seguridad y resiliencia frente a las acciones de los actores hostiles.

La seguridad de la IA, una cuestión capital en esta era

La incorporación de la Inteligencia Artificial a los diversos sectores productivos y la democratización del acceso a la IA, con herramientas al alcance de las pymes y no solo de las grandes compañías, supone un nuevo hito en la revolución tecnológica que hemos experimentado en las últimas décadas.

Por eso mismo, los riesgos de seguridad de la IA deben situarse en el centro del debate público y en el corazón de las estrategias empresariales.

Los ataques exitosos contra sistemas de IA pueden generar repercusiones catastróficas para las compañías que los desarrollan, pero también para las empresas que los usan y el conjunto de la ciudadanía: exfiltración de datos privados, desinformación, pérdida reputacional, consecuencias legales…

De ahí que sea fundamental abordar la seguridad de la IA a lo largo de todo su ciclo de vida, implementando controles de seguridad eficaces y realizando evaluaciones de seguridad continuas.

Security-by-design y a lo largo de todo el ciclo de vida

Como señala la guía de ENISA sobre IA y ciberseguridad, el concepto security-by-design, ampliamente extendido en el ámbito del desarrollo de software, debe trasladarse al terreno de la IA.

¿Cómo? Integrando controles, mecanismos y buenas prácticas de ciberseguridad en las primeras fases del diseño y desarrollo de los sistemas de IA y de las aplicaciones e infraestructuras IT que los soportan. Así, la agencia de la UE recomienda:

1. Llevar a cabo de forma continua pruebas de seguridad y realizar modelados de amenazas para identificar vulnerabilidades, fallos y vectores de ataque.
2. Apostar por prácticas de codificación segura y realizar auditorías de código fuente para detectar errores y vulnerabilidades.
3. Implementar prácticas seguras en lo que respecta al tratamiento de datos, para garantizar la confidencialidad y evitar la corrupción o extracción de los datos.
4. Ejecutar pruebas de seguridad en el proceso de desarrollo que sirvan para identificar problemas de seguridad en fases tempranas. Test como DAST son esenciales para gestionar el riesgo dinámico de ciberseguridad y poder priorizar las amenazas.
5. Asegurarse de que los sistemas de IA son diseñados de forma transparente y su comportamiento puede ser auditado de forma continua para detectar comportamientos anómalos y corregirlos antes de que provoquen incidentes de seguridad.

En definitiva, los riesgos de seguridad de la IA deben acometerse con la máxima eficiencia y rigurosidad. Aplicando con criterio todo el caudal de conocimientos, buenas prácticas, pruebas y metodologías diseñados por los profesionales de la ciberseguridad en las últimas décadas.

Para ello, es fundamental introducir controles de seguridad desde la primera fase del ciclo de vida de un sistema de IA, disponer de equipos multidisciplinares y llevar a cabo un monitoreo exhaustivo de la cadena de suministro de IA.

La IA es esencial para optimizar los servicios de ciberseguridad. Y la ciberseguridad es el mejor escudo del que disponemos para proteger a esta tecnología frente a los actores hostiles.