El avance imparable de la inteligencia artificial (IA) está generando un obstáculo creciente para las empresas, ya que tres de cada cuatro organizaciones han detenido sus proyectos de IA durante el último año por cuestiones vinculadas a la seguridad y la protección de datos. Este dato surge de dos estudios recientes realizados por Aikido y CybaVerse, que alertan sobre la creciente vulnerabilidad que estas tecnologías implican para la ciberseguridad corporativa.
Los resultados de estas encuestas coinciden con el llamado de atención de agencias de seguridad de países del grupo Five Eyes, que advierten que los líderes deben tomar medidas inmediatas para anticiparse a los riesgos emergentes derivados de la implementación de sistemas de IA.
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés) enfatiza que los atacantes ya están usando la IA para actuar con mayor rapidez y efectividad, por lo que los defensores deben adaptarse y evolucionar al mismo ritmo. Sin embargo, introducir IA específicamente para mitigar riesgos generados por IA puede no ser una solución inmediata ni sencilla. 
Según el estudio publicado por Aikido Security, el 76% de las organizaciones consultadas se vieron forzadas a detener, limitar o retroceder en sus proyectos de IA durante el último año debido a problemas de seguridad detectados. Esta cifra asciende a un 98% en aquellas empresas que implementan actualizaciones varias veces al día.
El informe revela además que siete de cada diez empresas tuvieron dificultades para identificar, investigar o resolver problemas de seguridad vinculados a la IA, porcentaje que crece hasta un 86% en equipos con despliegues diarios.
El principal desafío identificado radica en la velocidad de desarrollo y despliegue acelerada que aporta la IA: los equipos de seguridad cuentan con menos tiempo para detectar fallos, que además tienden a acumularse antes de poder resolver la primera serie de vulnerabilidades.
Además, tres cuartas partes de las empresas encuestadas implementan cambios significativos en producción semanal o incluso con mayor frecuencia, pero solo dos de cada diez validan la seguridad a ese ritmo, generando desajustes preocupantes en la gestión del riesgo.
Como consecuencia, casi un 80% muestra preocupación por la introducción de vulnerabilidades entre periodos de prueba, y la mitad considera que los resultados de estas pruebas están obsoletos cuando se revisan.
Preocupaciones crecientes ante modelos de IA centrados en seguridad
En este contexto, nueve de cada diez profesionales de la ciberseguridad perciben que el auge de modelos de IA enfocados en seguridad, como Claude Mythos de Anthropic, eleva el riesgo para las compañías. Estos modelos, diseñados para acelerar la detección de vulnerabilidades, podrían reducir el tiempo que los ciberdelincuentes necesitan para identificar y explotar fallos, multiplicando la necesidad de parcheos constantes.
Según el estudio de CybaVerse, el 86% de los expertos en ciberseguridad cree que herramientas como Mythos disminuirán los tiempos de exposición ante ataques, aunque más de dos tercios de sus empleadores no disponen del presupuesto necesario para asumir esta mayor carga de trabajo.
Oliver Spence, CEO de CybaVerse, señala que la irrupción de plataformas avanzadas de IA fue tan rápida que las organizaciones no tuvieron oportunidad de prepararse para el impacto que tendrían en sus defensas cibernéticas. Destaca que las compañías tecnológicas más grandes ya disponen de dichas plataformas y se observa un crecimiento exponencial en la identificación y divulgación de vulnerabilidades, ejemplificado en el último Patch Tuesday, que batió récords en volumen de parches publicados.
De cara al futuro, los profesionales consultados no son optimistas: tres cuartas partes creen que los delincuentes acabarán utilizando sistemas avanzados de IA como armas para sus ataques, por lo que las compañías deben estar preparadas ante esta eventualidad, ya que una seguridad infalible simplemente no existe.
Volviendo a lo esencial
A pesar del vertiginoso aumento en la detección de vulnerabilidades, Spence recomienda regresar a los fundamentos básicos de la ciberseguridad. Los equipos deben mantener un control riguroso sobre sus activos digitales, implementar procesos sólidos de gestión de vulnerabilidades y priorizar las tareas de remediación según el nivel de riesgo.
Aunque la IA puede acelerar la velocidad y escala de las amenazas, las organizaciones que mantengan una buena higiene digital y reduzcan su exposición a riesgos significativos estarán en mejor posición para defender sus sistemas, concluye Spence.
