La IA ha permitido a las organizaciones crear y mejorar aplicaciones a una velocidad y escala asombrosas. Esta evolución del desarrollo de software es posible gracias a la rápida adopción de herramientas de IA generativa como ChatGPT y GitHub Copilot.
Entre sus muchos casos de uso, la IA puede generar código muy rápido (y, en gran medida, con precisión), limpiar el código existente, localizar algoritmos útiles, elaborar documentación de software y acelerar el proceso de codificación manual.
En pocas palabras, la IA puede ser una poderosa herramienta de desarrollo. Si recibe instrucciones específicas y escritas de manera minuciosa, puede arrojar resultados de calidad que ahorran mucho tiempo y trabajo.
Sin embargo, toda tecnología tiene sus limitaciones y, en el caso de la IA, hemos observado algunos riesgos graves en materia de seguridad y privacidad de los datos que pueden superar las ventajas de la eficiencia que ofrece, desde fallos para detectar errores críticos hasta la exposición de código privado. Una de las formas de combatir estos riesgos es utilizar herramientas de protección frente a la pérdida de datos (DLP), que ayudan a las organizaciones a detectar el movimiento de datos confidenciales, cumplir la normativa sobre datos y privacidad, y contrarrestar la exfiltración de datos.
Sin embargo, las herramientas de IA son nuevas, de ahí que muchas soluciones de seguridad tradicionales no estén preparadas para mitigar los riesgos y las incógnitas que plantean a los datos de las organizaciones. En cambio, las organizaciones que deseen utilizar la IA en el proceso de desarrollo pueden habilitar estas herramientas de forma segura aplicando una estrategia de protección de datos resistente a la IA. Una protección de datos moderna ayuda a evitar la exposición de información confidencial, el incumplimiento de la normativa, los ataques y la pérdida la propiedad intelectual.
El desarrollo basado en la IA puede ayudar a las organizaciones a promover la innovación a escala. Sin embargo, cuando se utiliza sin tener en cuenta las limitaciones y los riesgos inherentes que plantean estas herramientas, no solo puede obstaculizar el proceso de desarrollo, sino también causar daños a las organizaciones que las utilizan.
Las herramientas de IA generativa procesan la información que se les proporciona, y luego utilizan esos datos para identificar patrones y estructuras que les permitan generar nuevos contenidos. Cuantos más datos reciban estos modelos de lenguaje de gran tamaño (LLM), más sofisticados y de mayor alcance serán.
Esto plantea importantes problemas cuando se trata de datos privados.Veamos el ejemplo de Samsung, que prohibió el uso de ChatGPT después de que un ingeniero subiera accidentalmente código fuente interno a la herramienta. Aunque esos datos no se filtraron en el sentido tradicional, los datos expuestos a las herramientas de IA a menudo se almacenan en servidores fuera del control de una organización, que pierde entonces la capacidad de proteger la forma en que se usan y distribuyen.
Una de las preocupaciones más comunes de las organizaciones es la forma en que las plataformas de IA recopilan los datos de los usuarios para seguir entrenando a sus LLM. Plataformas populares de IA, como OpenAI y GitHub Copilot, entrenan sus modelos de IA utilizando los datos que reciben, y, en muchas ocasiones, han reproducido esos datos al generar resultados para otros usuarios de esas plataformas. Esta práctica plantea problemas de privacidad en caso de que se exponga públicamente código privado, datos confidenciales o información de identificación personal (PII).
A fin de cuentas, compartir datos con plataformas de IA es como compartir datos con cualquier otra empresa. Los usuarios confían en ellas para proteger las entradas de datos, sin darse cuenta de que la seguridad de los datos no es una característica esencial y, cuantos más datos reúnan, más rentables serán como objetivo.
Muchas de las filtraciones relacionadas con herramientas de IA han sido accidentales. Un ingeniero carga código que no se debería haber publicado fuera de entornos internos, o una organización descubre respuestas de ChatGPT que se parecen mucho a datos confidenciales de la empresa.
Otros casos de exposición son más insidiosos. FraudGPT y WormGPT son dos herramientas de IA entrenadas específicamente con datos robados con la única intención de crear campañas de phishing, automatizar malware y llevar a cabo ataques de ingeniería social más sofisticados y con apariencia humana. Aunque la mayoría de las plataformas de IA se utilizan principalmente con fines positivos, la potente tecnología que las sustenta se puede entrenar para acelerar y promover ataques.
Además de utilizar datos robados, las herramientas de IA más benignas pueden generar código inestable. Un estudio reciente reveló que el 40 % del código generado por GitHub Copilot contenía al menos una de las 25 vulnerabilidades más comunes identificadas por MITRE. Los autores del estudio determinaron que este resultado obedecía al entrenamiento de Copilot en el repositorio de código abierto de GitHub, al que cualquier usuario podía subir código.
Por último, las propias herramientas de IA también pueden ser blanco de ataques. En un caso reciente, ChatGPT sufrió una fuga de datos en la que quedaron expuestas más de 100 000 cuentas. Nombres, direcciones de correo electrónico y de pago, e información sobre tarjetas de crédito quedaron expuestos en la fuga, al igual que los títulos y mensajes de chat confidenciales creados con la herramienta.
La facilidad con la que se pueden manipular las herramientas de IA plantea dudas sobre hasta qué punto las organizaciones podrán proteger plenamente los datos de los usuarios cuando utilicen estas tecnologías. Ya sea de forma involuntaria o malintencionada, el uso de software de IA puede abrir la puerta a la exposición de datos y causar problemas de conformidad generalizados.
Por ejemplo, unos investigadores descubrieron un fallo crítico en el software de IA de Nvidia que les permitía eludir las restricciones voluntarias de privacidad y seguridad de los datos. En menos de un día, fueron capaces de engañar al marco de IA para que revelara información de identificación personal.
A la hora de proteger los datos confidenciales de los riesgos de la IA, puede ser útil pensar en la IA como uno de los tipos más peligrosos de Shadow IT. En pocas palabras, el uso de herramientas de IA de terceros a menudo conlleva una falta crítica de visibilidad sobre cómo se procesan, almacenan y distribuyen los datos.
Dado que las herramientas de IA de código abierto no se crearon teniendo en cuenta la seguridad y la privacidad de los datos, la responsabilidad de defender proactivamente los sistemas, el código y los datos de usuario frente a los riesgos recae en las organizaciones.Lejos de prohibir por completo el uso de la IA, las organizaciones pueden emplear varias estrategias para minimizar estos riesgos, entre ellas:
Antes de añadir nuevas herramientas de IA de terceros, evalúa los casos de uso previstos para la IA. ¿Se utilizará la IA para sugerir documentación en lenguaje natural? ¿Desarrollará aplicaciones de software de código bajo o sin código? ¿Evaluará y corregirá fallos en el código existente? ¿Se integrará en aplicaciones internas o productos de acceso público?
Una vez priorizados estos casos de uso, es importante evaluar los riesgos potenciales que la exposición a las herramientas de IA puede plantear o agravar.Dado el amplio abanico de riesgos relacionados con la IA, las organizaciones deben establecer directrices claras para prevenir y parchear cualquier vulnerabilidad que surja. También puede ser útil consultar la documentación existente sobre vulnerabilidades relacionadas con software específico de IA.
Por supuesto que las organizaciones no deben dar carta blanca al acceso a la IA, sobre todo cuando la información privada y los datos de los usuarios están en juego. Más allá de las preocupaciones por la seguridad y la privacidad de los datos, las herramientas de IA plantean cuestiones de sesgo y transparencia, que pueden afectar aún más a los beneficios del desarrollo basado en la IA.
Por esta razón, las organizaciones deben desarrollar directrices y protocolos en lo que respecta al uso de la IA por terceros. Determina qué datos se pueden compartir con las herramientas de IA, en qué contexto, y qué herramientas de IA pueden acceder a ellos. Investiga los posibles sesgos que plantean las herramientas de IA, documenta cómo se utiliza la IA dentro de la organización y crea normas para la calidad de los resultados generados por la IA que se recopilen.
La IA evoluciona constantemente y, como tal, se debe controlar regularmente. Cuando utilices modelos de IA, ajusta los protocolos y las restricciones de datos existentes conforme surjan nuevos casos de uso. La evaluación continua del código y las funciones generadas por la IA permite a las organizaciones detectar los riesgos potenciales más fácilmente y minimizar las probabilidades de riesgo.
Las comprobaciones internas se deben complementar con evaluaciones periódicas de las herramientas de IA de terceros. A medida que se registren nuevas vulnerabilidades en ChatGPT, Copilot u otro software de IA, replantea el tipo de datos que se proporcionan en esas herramientas o, si es necesario, revoca el acceso a las herramientas hasta que se hayan parcheado los errores.
Las soluciones tradicionales de protección de datos no son lo suficientemente adaptables o flexibles para seguir el ritmo de los riesgos de la IA. La configuración y el mantenimiento de numerosos productos estándar de protección frente a la pérdida de datos (DLP) son complejos, y degradan la experiencia del usuario, de modo que, en la práctica, los controles DLP se suelen infrautilizar o eludir por completo. Tanto si se implementan como plataforma independiente o se integran en otros servicios de seguridad, los servicios de DLP por sí solos pueden ser a menudo demasiado ineficaces e ineficientes para modificarse contra las diversas formas en que se puede utilizar la IA.
En su lugar, las organizaciones necesitan invertir en tecnología de protección de datos que sea lo suficientemente ágil como para mitigar los riesgos de la IA y proteger la información privada y los datos de los usuarios frente a usos indebidos, riesgos y ataques. Cuando analices soluciones modernas de protección de datos, opta por una que esté diseñada para proteger el código de los desarrolladores en todas las ubicaciones en las que se alojan los datos valiosos, al tiempo que evoluciona junto con las nuevas necesidades de seguridad y privacidad de una organización.
Las empresas apenas están empezando a entender cómo aprovechar la IA generativa. Incluso en sus orígenes, la IA ya ha expuesto datos y planteado riesgos para la privacidad. Hoy en día, minimizar eficazmente estos riesgos requiere una coordinación estratégica entre las personas, los procesos y la tecnología.
Cloudflare es una empresa diseñada para mantenerse a la vanguardia de los riesgos de datos claramente modernos, como las herramientas de IA emergentes. Cloudflare One agrupa numerosas soluciones de puntos de protección de datos en una única plataforma SSE para simplificar la gestión y aplica controles en todas partes, en todos los entornos web, SaaS y privados, con rapidez y coherencia. Todos los servicios se desarrollan en la red programable de Cloudflare, lo que nos permite crear e implementar nuevas funciones muy rápido en todas las 330 ubicaciones de la red.
Este enfoque ayuda a las organizaciones con su estrategia de protección de datos de forma que:
Los equipos de seguridad pueden proteger los datos de manera más eficaz simplificando la conectividad con opciones flexibles en línea y basadas en API para enviar tráfico a Cloudflare y aplicar controles de datos.
Los empleados pueden mejorar la productividad garantizando experiencias de usuario fiables y coherentes que, según se ha demostrado, son más rápidas que las de otros competidores.
Las organizaciones pueden aumentar la agilidad innovando con rapidez para cumplir los nuevos requisitos en materia de seguridad y privacidad de los datos.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Descarga el documento técnico "Simplificamos la protección de las aplicaciones SaaS", para descubrir cómo Cloudflare ayuda a las organizaciones a proteger sus aplicaciones y datos con un enfoque Zero Trust.
Después de leer este artículo podrás entender:
Cómo la IA pone en peligro los datos privados
Por qué la protección de datos heredada no es suficiente
Estrategias para minimizar los riesgos de la IA y maximizar la productividad