ChatGPT es un modelo de lenguaje grande (LLM) que se incluye en la definición amplia de IA generativa. El sofisticado chatbot fue desarrollado por OpenAI utilizando el modelo Generative Pre-trained Transformer (GPT) para comprender y replicar patrones de lenguaje natural con precisión humana. La última versión, GPT-4, exhibe un desempeño a nivel humano en puntos de referencia académicos y profesionales. Sin duda, la IA generativa creará oportunidades en todas las industrias, particularmente en aquellas que dependen de grandes volúmenes de datos de lenguaje natural.
IA generativa como habilitador de seguridad
Están surgiendo casos de uso empresarial con el objetivo de aumentar la eficiencia de los equipos de seguridad que realizan tareas operativas. Productos como Security Co-Pilot de Microsoft se basan en las capacidades de procesamiento de lenguaje natural de la IA generativa para simplificar y automatizar ciertos procesos de seguridad. Esto aliviará la carga de recursos de los equipos de seguridad de la información, lo que permitirá a los profesionales concentrarse en tareas técnicamente exigentes y en la toma de decisiones críticas. A más largo plazo, estos productos podrían ser clave para cerrar la brecha de habilidades de la industria.
Si bien los beneficios son claros, la industria debe anticipar que es probable que la adopción generalizada de la IA ocurra a velocidades glaciales. La investigación realizada por PA Consulting encontró que el 69% de las personas le temen a la IA y el 72% dice que no sabe lo suficiente sobre la IA para confiar en ella. En general, este análisis destaca una renuencia a incorporar sistemas de IA en los procesos existentes.
La IA generativa como amenaza a la ciberseguridad
Por el contrario, existe la preocupación de que los sistemas de IA como ChatGPT puedan usarse para identificar y explotar vulnerabilidades, dada su capacidad para automatizar la finalización del código, el resumen del código y la detección de errores. Si bien es preocupante, la percepción de que ChatGPT y herramientas de IA generativas similares podrían usarse para el desarrollo de malware está demasiado simplificada.
En su estado actual, las capacidades de programación de la IA generativa son limitadas y, a menudo, producen códigos inexactos o “alucinaciones” al escribir programas funcionales. Incluso las herramientas de IA generativa que están afinadas para lenguajes de programación muestran un potencial de programación limitado, funcionan bien al resolver preguntas sencillas de entrevistas de codificación de Python, pero luchan con problemas más complejos.
Y, si bien hay ejemplos de malware desarrollado con IA generativa, estos programas están escritos en Python, lo que no es práctico para el uso en el mundo real. En última instancia, los adversarios que buscan desarrollar malware no obtendrán más ventajas de la IA generativa en comparación con las herramientas o técnicas existentes. Actualmente, todavía está en su infancia, pero es probable que la carrera armamentista de IA que están librando actualmente las organizaciones de “gran tecnología” resulte en modelos más poderosos y confiables. La gestión de este panorama cambiante de amenazas requiere una postura de riesgo proactiva y dinámica.
Las organizaciones no deben descartar por completo las amenazas de seguridad actuales que plantean ChatGPT y otros modelos generativos de IA. Los LLM son extremadamente efectivos para imitar la conversación humana, lo que dificulta diferenciar el texto generativo sintetizado por IA del discurso humano. Los adversarios podrían implementar IA generativa en WhatsApp, SMS o correo electrónico para automatizar las conversaciones con los objetivos, establecer una buena relación y obtener información confidencial. Esto podría solicitarse directamente o recopilarse persuadiendo a los objetivos para que hagan clic en enlaces a malware. La IA generativa también se puede usar con fines fraudulentos, como videos falsos y herramientas de texto a voz impulsadas por IA para la suplantación de identidad y la suplantación de identidad.
Un enfoque proactivo para las organizaciones
En 2022, el error humano representó el 82 % de las filtraciones de datos; con el advenimiento de las herramientas de IA generativa, es probable que esto aumente. Pero si bien las personas pueden ser el eslabón más débil, también pueden ser el mayor activo de una organización.
En respuesta al cambiante panorama de amenazas, deben asegurarse de que sus empleados estén preparados para ataques más convincentes y sofisticados. Los líderes deben ser defensores visibles del cambio y asegurarse de que su gente esté bien equipada e informada para gestionar las amenazas. Al incorporar la seguridad psicológica en su cultura cibernética, las organizaciones empoderarán a las personas para que informen sobre eventos de seguridad como el phishing sin temor a represalias. Este tipo de cultura cibernética inclusiva y transparente será el diferenciador clave para aquellos con seguridad cibernética efectiva.
Las comunicaciones corporativas regulares que destacan las amenazas emergentes, los estudios de casos y las lecciones aprendidas deben estar respaldadas por una capacitación regular que refleje las nuevas tendencias. Por ejemplo, ahora que la IA generativa puede escribir prosa coloquial sin errores, ya no es posible identificar la comunicación no humana a través de errores gramaticales o estructuras de oraciones robóticas. Al reevaluar su enfoque para la capacitación de concientización sobre estafas, las organizaciones deben enseñar a los empleados a verificar los destinatarios de la información confidencial o personal.
Es importante mantenerlo simple. La clave para una cultura segura es implementar procesos sencillos y brindar capacitación y orientación accesibles. En la práctica, esto incluye avisos automatizados para advertir a los colegas sobre acciones potencialmente inseguras y políticas de recursos humanos que respaldan una cultura de “más vale prevenir que curar”.
El camino a seguir
Las organizaciones están mirando profundamente el caleidoscopio generativo de IA, pero se debe mantener un ojo atento sobre los riesgos potenciales de seguridad, privacidad y sociedad que se plantean. Deben equilibrar los beneficios y las amenazas de introducir IA en sus procesos y centrarse en la supervisión humana y las pautas necesarias para usarla de manera adecuada.
Por Luke Witts, experto en ciberseguridad de PA Consulting. Un agradecimiento especial a Cate Pye, Budgie Dhanda, Tom Everard y Alwin Magimay por contribuir con sus ideas a este artículo.