Comienza de forma bastante inocente. Un empleado descubre una nueva herramienta impulsada por IA que promete revolucionar su flujo de trabajo, haciéndolos más rápidos y eficientes. Sin esperar la aprobación oficial, comienzan a usarla, alimentándola con datos de la empresa para realizar el trabajo. Esto es 'IA en la sombra', y aunque pueda parecer inofensivo, un nuevo informe de IBM revela que es una bomba de tiempo para la ciberseguridad, haciendo que las inevitables filtraciones de datos sean significativamente más costosas.
El alto costo de la IA sin supervisión
Según el informe anual de IBM, Costo de una Filtración de Datos, el mundo oculto de la IA no autorizada está teniendo un gran impacto financiero. El estudio encontró que una de cada cinco organizaciones experimentó un ciberataque derivado de fallas de seguridad en la IA en la sombra. ¿El precio de estos incidentes? Un asombroso promedio de $670,000 más que las filtraciones en empresas con poca o ninguna IA en la sombra.
El problema no es solo la presencia de la IA, sino la falta de supervisión. El informe destaca una vulnerabilidad crítica: de las organizaciones que sufrieron filtraciones que involucraron sus herramientas de IA, un sorprendente 97% carecía de controles de acceso adecuados. Esto sugiere que, si bien las empresas están ansiosas por adoptar la IA, no están implementando las medidas de seguridad básicas necesarias para protegerla.
Cómo los atacantes explotan las sombras
Entonces, ¿cómo los ciberdelincuentes convierten estas herramientas útiles en puertas traseras? El punto de entrada más común, según IBM, es a través de la cadena de suministro. Los hackers comprometen las aplicaciones de terceros, API o complementos que se conectan a la plataforma de IA. Una vez que obtienen un punto de apoyo, el daño puede propagarse rápidamente.
En el 60% de estos casos, los atacantes que violaron una plataforma de IA pudieron pivotar y comprometer otros almacenes de datos de la empresa. En casi un tercio de los incidentes (31%), incluso causaron interrupciones operativas en infraestructuras críticas. Lo que comienza como un atajo de productividad puede escalar rápidamente a una crisis corporativa en toda regla.
La brecha de gobernanza
A pesar del peligro claro y presente, muchas empresas se están quedando atrás en su respuesta. El informe encontró que el 63% de las empresas que experimentaron una filtración no tenían una política de gobernanza de IA implementada. Incluso entre las que sí la tenían, las políticas a menudo eran ineficaces.
- Menos de la mitad tenía un proceso de aprobación formal para implementar nuevas herramientas de IA.
- El 62% no implementó controles de acceso sólidos en sus plataformas de IA.
- Solo el 34% con políticas de gobernanza escaneaba regularmente sus redes en busca de herramientas no autorizadas, lo que explica por qué la IA en la sombra prospera.
Mientras tanto, los atacantes están aprovechando la IA generativa a su favor. El informe señala que el 16% de las filtraciones de datos involucraron a atacantes que usaban IA, principalmente para elaborar correos electrónicos de phishing sofisticados (37%) y crear suplantaciones de identidad convincentes con deepfakes (35%). La eficiencia es alarmante; IBM descubrió previamente que la IA generativa puede reducir el tiempo para escribir un correo electrónico de phishing de 16 horas a solo cinco minutos.
Conclusiones clave para su negocio
El auge de la IA en la sombra es una consecuencia directa de la tensión entre la innovación de los empleados y la seguridad corporativa. Para proteger su organización, necesita una estrategia proactiva. Aquí hay cinco pasos clave:
- Descubrir e Inventariar: No puede proteger lo que no sabe que tiene. Implemente herramientas y procesos para descubrir todas las aplicaciones de IA que se utilizan en su red.
- Establecer Políticas Claras: Desarrolle una política integral de gobernanza de IA que describa el uso aceptable, los procesos de aprobación y los requisitos de manejo de datos.
- Implementar Controles de Acceso Fuertes: Adopte principios de confianza cero, incluida la segmentación de red y la autenticación multifactor, para limitar el acceso a las herramientas de IA y los datos a los que se conectan.
- Educar a su Equipo: Capacite a los empleados sobre los riesgos de usar software no autorizado y cree un proceso claro y simple para que soliciten y evalúen nuevas herramientas.
- Auditar y Monitorear Continuamente: Escanee regularmente en busca de nuevas herramientas de IA no autorizadas y revise los registros de acceso para detectar actividades sospechosas antes de que conduzcan a una filtración.