Hace algunas semanas, un grupo de ingenieros de la empresa Samsung en Corea del Sur, compartió, por error, código fuente de los semiconductores en los que trabajaban, con ChatGPT, el desarrollo de inteligencia artificial más famoso del mundo; este incidente muestra los riesgos de ciberseguridad e inteligencia artificial en las organizaciones que ya trabajan con este avance tecnológico.
El incidente fue una auto vulneración de la seguridad de los datos y la propiedad intelectual de Samsung, pues ese código, que usaban en una aplicación confidencial, fue a dar al repositorio de información de la empresa estadounidense Open AI, la creadora de esta plataforma de Inteligencia artificial; a otro nivel, ocurre algo semejante con toda la información que millones de personas agregan voluntariamente a este desarrollo sin preguntarse a dónde va a dar.
Ciberseguridad e inteligencia artificial, una relación necesaria
Para prevenir riesgos semejantes, las organizaciones deberían implantar medidas de seguridad adecuadas para usar aplicaciones de inteligencia artificial, por eso te compartimos 9 puntos de seguridad que deben cuidar las organizaciones que ya utilizan aplicaciones de inteligencia artificial:
- Privacidad de los datos personales: las organizaciones deben garantizar que los datos personales y confidenciales de los usuarios estén protegidos adecuadamente, evitando su acceso sin autorización o su uso indebido.
El descuido al administrar la privacidad de los datos personales de los usuarios es uno de los principales riesgos al usar las aplicaciones de inteligencia artificial. En la era digital, donde la recopilación y el procesamiento de datos son elementos clave para el funcionamiento de estas aplicaciones, es fundamental garantizar la protección de la información personal, así como la confidencialidad de los usuarios mediante prácticas y políticas robustas de seguridad de datos.
También es importante garantizar la privacidad de los datos mediante el cumplimiento de regulaciones y normativas establecidas por la Ley Federal de Protección de Datos Personales en Manos de Particulares, en México; el Reglamento General de Protección de Datos (GDPR) en Europa o la Ley de Privacidad del Consumidor de California (CCPA) en Estados Unidos, entre otros reglamentos aplicables.
- Transparencia y explicabilidad: Las aplicaciones de inteligencia artificial deben ser transparentes en cuanto a cómo se toman las decisiones y generan resultados comprensibles. Las empresas con servicios de inteligencia artificial deben ser claras sobre cómo utilizan los datos de los empleados y usuarios, para ello deben informar qué datos recopilan, cómo se almacenan y procesan, y con qué propósito se utilizan.
Al mismo tiempo, las aplicaciones de inteligencia artificial deben explicar cómo se llega a una determinada conclusión o resultado; los empleados y usuarios deben poder entender los procesos y algoritmos utilizados en las aplicaciones de IA, para que puedan confiar en los resultados y comprender las implicaciones de las decisiones tomadas por la IA. - Sesgos y discriminación: Los algoritmos de inteligencia artificial pueden verse afectados por sesgos y discriminación, lo que puede tener consecuencias negativas para ciertos grupos humanos. Las organizaciones deben asegurarse de abordar estos problemas y mitigar cualquier sesgo inherente en los datos o en los modelos al aplicar las siguientes recomendaciones:
- Recopilar y seleccionar datos representativos: las organizaciones deben asegurarse de que los conjuntos de datos utilizados para entrenar los algoritmos de IA sean representativos de la diversidad de la población a la que se aplicarán para evitar el uso de datos sesgados o que refuercen estereotipos y discriminación.
- Auditorías y pruebas de sesgos: permiten identificar y cuantificar los sesgos presentes en los algoritmos; sirven para identificar patrones discriminatorios y establecer medidas correctivas.
- Mejora de los algoritmos y modelos: es posible implementar técnicas de mitigación de sesgos en los algoritmos de IA, la cuales buscan equilibrar la influencia de variables y características sensibles para garantizar decisiones justas y no discriminatorias.
- Supervisión y gobierno corporativo: las organizaciones deben establecer reglas adecuadas para supervisar y controlar los algoritmos de IA mediante comités o equipos encargados de monitorear continuamente el desempeño de los modelos y asegurarse que se cumplan los estándares éticos y legales vigentes.
- Seguridad del modelo: Los modelos de inteligencia artificial deben estar protegidos contra ataques que puedan manipularlos o explotarlos y ser resistentes a ataques y fallas:
- Protección contra ataques: se trata de intentos deliberados para manipular o engañar al modelo de IA. Las organizaciones deben implementar técnicas de defensa robustas, como la detección de ataques, la encriptación de datos y la validación de entradas, para proteger los modelos contra este tipo de amenazas.
- Gestión de sistemas de acceso y autenticación: permiten garantizar que solo las personas autorizadas puedan acceder y utilizar los modelos, evitando así posibles ataques o manipulaciones por parte de actores malintencionados.
- Actualizaciones y parches de seguridad: los modelos de IA deben mantenerse actualizados con los últimos parches de seguridad.
- Realizar auditorías de seguridad y pruebas de penetración: estás acciones periódicas pueden ayudar a identificar posibles brechas de seguridad y vulnerabilidades en los modelos de IA. Estas pruebas deben realizarse tanto internamente como con la participación de expertos externos en seguridad cibernética.
- Responsabilidad y rendición de cuentas: las organizaciones deben asumir la responsabilidad de cualquier consecuencia derivada del uso de aplicaciones de inteligencia artificial. Deben establecer mecanismos para abordar las preocupaciones de los empleados o usuarios y proporcionar canales de denuncia adecuados.
- Parte de esa responsabilidad es asumir la responsabilidad de identificar y mitigar los riesgos de los sesgos, la privacidad de los datos y el impacto en el empleo, para crear principios éticos que guíen el desarrollo y la implementación de la IA.
- Asimismo, las organizaciones deben tener canales de denuncia y retroalimentación para recibir preocupaciones o problemas de los empleados o usuarios relacionados con el uso de aplicaciones de IA.
- Para lograr lo anterior es necesario que exista un entorno seguro y confidencial donde las personas puedan plantear sus inquietudes y proporcionar retroalimentación.
- También, es importante que las organizaciones consideren seriamente estas denuncias y tomen medidas adecuadas para abordarlas.
- Es necesario que las organizaciones evalúen periódicamente el impacto de las aplicaciones de IA sobre la privacidad, la equidad y la seguridad, para lograrlo son necesarias auditorías y pruebas continuas.
- Actualización y mantenimiento: las aplicaciones de inteligencia artificial deben mantenerse actualizadas para enfrentar nuevos riesgos de seguridad que puedan surgir. Las organizaciones deben estar al tanto de las últimas investigaciones y desarrollos en el campo de la seguridad de la inteligencia artificial y adaptar sus sistemas en consecuencia.
- Gestión de incidentes: Tener planes y procedimientos establecidos para manejar incidentes de seguridad, incluyendo la detección, respuesta, recuperación y notificación de violaciones de seguridad.
- En el caso de Samsung, después de la filtración de código, la empresa tomó medidas como la reducción de la capacidad de subida a 1024 bytes por pregunta, así como la posibilidad de bloquear el acceso a ChatGPT en caso de que ocurriera un nuevo incidente.
- Protección de la propiedad intelectual: Las organizaciones deben proteger los algoritmos, modelos y otros activos de propiedad intelectual relacionados con la inteligencia artificial para combatir el robo, la copia no autorizada o su mal uso. Estas son las medidas necesarias para lograrlo:
- Identificar y clasificar los activos de propiedad intelectual: esto incluye los algoritmos, modelos, conjuntos de datos y otros recursos valiosos. Esta acción permitirá protegerlos.
- Establecer una seguridad robusta con sistemas de encriptación, autenticación y acceso restringido solamente para personas autorizadas; al mismo tiempo debe establecerse una política sobre el uso y la divulgación de estos activos dentro y fuera de la organización.
- Las organizaciones deben monitorear los activos de propiedad intelectual, tanto interna como externamente, y estar preparadas para detectar y responder al robo, copia no autorizada o mal uso de estos.
- Las empresas deben contar con acuerdos de confidencialidad y contratos precisos con los empleados, proveedores y socios comerciales que puedan acceder a sus activos de propiedad intelectual vinculados con la IA. Los acuerdos deben determinar las restricciones, las obligaciones de confidencialidad y las consecuencias legales por el incumplimiento.
- La protección de la propiedad intelectual relacionada con la IA debe incluir el registro de derechos de autor, patentes u otras formas de protección legal. Estas medidas fortalecerán su posición legal y les proporcionarán los recursos necesarios para defender sus derechos ante disputas o infracciones.
- Educación y concienciación: las organizaciones deben capacitar sobre seguridad de la inteligencia artificial a los empleados y usuarios para fomentar buenas prácticas de seguridad y promover una cultura de seguridad.
En resumen, aunque la inteligencia artificial ofrece muchas oportunidades para mejorar la eficiencia en las empresas, también puede representar riesgos significativos si no se implementan medidas adecuadas de seguridad. Las empresas que utilizan aplicaciones de inteligencia artificial deben, proactivamente, tomar medidas para garantizar la seguridad y privacidad de los datos que manejan.