La Inteligencia Artificial y su uso para robar nuestra privacidad

La inteligencia artificial (AI) y las capacidades de aprendizaje automático (ML) están creciendo a un ritmo sin precedentes. Estas tecnologías tienen muchas aplicaciones ampliamente beneficiosas en un entorno cada vez más tecnificado y por obvias razones.

Para el profesor del Massachusetts Institute of Technology (MIT), Patrick H. Winston,  AI son «algoritmos habilitados por restricciones, expuestos por representaciones que  apoyan modelos dirigidos a bucles que unen pensamiento, percepción y acción.»

En resumen, la Inteligencia Artificial hace referencia a máquinas o sistemas informáticos que piensan. Emiten razonamientos emulando la inteligencia humana para ejecutar tareas que sólo las personas podían realizar.

Históricamente y más en nuestra región, se ha prestado poca atención a las formas en que la inteligencia artificial puede usarse de manera maliciosa. Es necesario examinar ya el panorama de posibles amenazas de seguridad derivadas de los usos malintencionados de estas tecnologías y proponer formas de pronosticar, prevenir y mitigar todas las posibles amenazas, incluso en nuestro entorno familiar.

Aún antes de esta pandemia, algunas de las voces más destacadas en seguridad de la información predijeron una «carrera de armamentos de aprendizaje automático» en la que los adversarios y defensores trabajan frenéticamente para obtener ventaja en las capacidades de aprendizaje automático. A pesar de los avances en esta rama para la defensa cibernética, «los adversarios están trabajando con la misma fuerza para implementar e innovar en torno a ellos» en donde la pandemia ha creado un entorno que ha facilitado este trabajo. Como la mayoría de las tecnologías, AI y ML no solo brindan más conveniencia y seguridad como una herramienta para los consumidores, sino que también pueden ser explotados por actores criminales.

Una publicación conjunta publicada por investigadores de Oxford, Cambridge y otras organizaciones académicas, de la sociedad civil y de la industria, describe “el panorama de posibles amenazas de seguridad derivadas de los usos maliciosos de las tecnologías de inteligencia artificial”, al mismo tiempo, proponen formas de pronosticar y prevenir mejor y mitigar estas amenazas. Desafortunadamente, existen muy pocas soluciones en el mercado para prevenir y mitigar los usos maliciosos de la IA. Si bien este informe se refiere a la seguridad física, política y digital, nos gustaría proporcionar otro contexto adicional sobre el posible uso malicioso del aprendizaje automático por parte de los atacantes en materia de seguridad de la información, y destacar algunos comentarios de líderes defensores de este mismo ecosistema.

Una industria que pisa con cuidado

La seguridad de la información ha sido un beneficiario de los rápidos avances en la inteligencia artificial pero aún de forma muy «limitada». Por ejemplo, pocos actores en la industria, hemos aplicado el aprendizaje automático para la mejor detección de malware y de igual manera pocos hemos creado agentes artificialmente inteligentes, para elevar la eficiencia y eficacia de los defensores de nuestra información y privacidad. Pero, no hay que perder de vista que estas tecnologías son de doble uso y los atacantes también aprovechan y de forma más profunda y generalizada las ganancias que esta tecnología le ha provisto al mundo. Los investigadores y los profesionales de la seguridad deben ser conscientes del uso indebido de esta tecnología y ser proactivos en la promoción de la apertura y el establecimiento de normas que nos ayuden a protegernos de esta tendencia. Es un hecho, que la comunidad de AI debe ver a la industria de la seguridad como un camino potencial hacia el desarrollo de normas y la resolución de problemas de seguridad y ética (por ejemplo, divulgación responsable, sesgo algorítmico).

Red Teaming IA

Sin dudar, los adversarios, cada vez más sofisticados, entienden y explotan nuestras vulnerabilidades y falta de concientización como usuarios tecnológicos gracias a la IA. Pero, como hemos y discutido en diversos foros, esperamos que sea ya más profundo el uso ofensivo de la IA en la en todos nuestros procesos y soluciones de ciberseguridad. Este sentimiento se ha presentado ya por mucho tiempo, y no debería aletargarse más por una industria aún poco madura. Se han realizado importantes investigaciones que demuestran cómo la IA puede escalar ataques digitales de una manera sin precedentes.

El uso de la IA en malware automatizado a habilitando gusanos como Mirai y WannaCry o incluso el multi mencionado “Dark Tequila” el malware echo por manos mexicanas en específico para mercados latinoamericanos. El potencial de futuros ataques que aprovechan la automatización y el uso malicioso de la IA es cada vez más grande y requiere una estrategia defensiva inteligente para contrarrestarlos. Ya es hora de que los responsables de la seguridad y privacidad de nuestra información, así como todos los usuarios de la tecnología nos obliguemos de crear conciencia de este mal que día a día es más fuerte.

La Universidad de Virginia junto con expertos de Elastic-Endgame han investigado de manera proactiva cómo un adversario puede usar el aprendizaje automático para evitar las defensas de malware. Esta investigación ha ayudado a comprender a nivel técnico, cómo puede ser la naturaleza de los ataques y a pensar de manera proactiva sobre los puntos ciegos en nuestras defensas. En términos técnicos, al atacar los propios modelos de aprendizaje, podemos enseñarles nuestras propias debilidades, al tiempo que proporcionamos información valiosa sobre la inteligencia humana en los casos descubiertos por los ataques de sombrero blanco habilitados por la IA.

Más allá de la tecnología

Mitigar el uso malicioso de la IA debe ser más que técnico. A medida que el informe destaca, el conocimiento del usuario final, las leyes y las normas sociales, las políticas y los elementos disuasorios adecuados son quizás aún más críticos. De hecho, el documento hace varias recomendaciones de alto nivel para:

  • Los formuladores de políticas, deben trabajar estrechamente y colaborar con investigadores técnicos para investigar, prevenir y mitigar el posible uso malicioso de la IA, adicional, enfocarse en revisar la organización cuente con soluciones tecnológicas que los ayuden en esta labor.
  • Los investigadores e ingenieros en AI, considerar la naturaleza de doble uso de este trabajo al diseñar productos;
  • Fomentar la colaboración entre un conjunto más amplio de partes interesadas, incluidos investigadores, responsables políticos y otras partes interesadas, para involucrarse más en las discusiones éticas de los posibles desafíos y mitigaciones de la IA.

“No se trata de lo que la tecnología puede hacer, se trata de lo que usted puede hacer con ella”.

AI y ML continuarán perturbando la seguridad de la información, al igual que están afectando a otras industrias. Los adversarios buscan constantemente innovar y, por lo tanto, debemos prepararnos y esperar nuevas implementaciones con el uso de ellas a medida que los ataques evolucionan. A su vez, los defensores las deben integrarlas inteligentemente para optimizar los flujos de trabajo humanos y elevar las capacidades defensivas en preparación para cualquier intento de los adversarios. En general, creemos que la inteligencia artificial y la seguridad de la información evolucionarán rápidamente en conjunto en los próximos años, pero debido al uso doble de esta tecnología, se requiere un esfuerzo proactivo para asegurarnos de mantenernos al frente de los atacantes motivados.

Autor: Ricardo Hernández

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *