Shadow AI: La Amenaza Fantasma para la seguridad empresarial

Hace años el término Shadow IT se convirtió en la pesadilla de los departamentos de sistemas, representando una brecha de seguridad para las empresas, ya que comprometía la privacidad y confiabilidad de los datos, e incluso el óptimo funcionamiento de los sistemas autorizados, en la era digital esta amenaza vuelve a resurgir como Shadow AI. Pero, ¿qué quiere decir este término y por qué debería preocuparnos?

El 2023 es un año que quedará marcado por la adopción masiva de IA. Un gran número de empresas expresaron sus intenciones de incorporar esta herramienta en sus procesos, y una cantidad significativa de las mismas comenzó con el proceso de implementación. Pero más allá de esto, las personas adoptaron en su día a día  herramientas de IA generativas, tanto por recreación como para agilizar su desempeño laboral.

Echa un vistazo a: Ciencia, Datos, Nube y Rock & Roll

El vertiginoso proceso de transformación digital, es uno que experimenta continuos picos de aceleración, que desafían la capacidad de las empresas para adaptar sus protocolos de seguridad de forma adecuada. La falta de regulaciones formales, así como la integración e implementación de herramientas IA, que carecen de una certificación de uso corporativo, representan una amenaza latente que es necesaria abordar con seriedad y de forma proactiva. 

El Ascenso del Lado Oscuro 

La Inteligencia Artificial está transformando el mundo empresarial con múltiples beneficios que prometen un futuro brillante para productividad empresarial, pero su crecimiento desmedido, trae consigo múltiples riesgos alimentando su lado oscuro, uno de ellos el Shadow AI, una amenaza que puede corromper la información burlar las defensas y destruir la confianza, poniendo en riesgo el futuro de tu empresa. 

En la década de 1970, la seguridad era un tema relativamente simple. La gestión tecnológica se encontraba centralizada en los departamentos de informática de las empresas, donde se controlaban los accesos e implementaban las medidas de seguridad correspondientes; sin embargo, esta centralización limitaba la flexibilidad y la agilidad de las empresas.  

Tan solo 10 años después, la llegada de las computadoras personales revolucionó el panorama. Los usuarios, sin necesidad de conocimientos técnicos, podían adquirir sus propios equipos e implementar herramientas para sus necesidades específicas, si bien esto representó una mayor autonomía y productividad, también introdujo nuevos riesgos de seguridad. 

Las herramientas usadas no siempre eran compatibles con los sistemas centrales de las empresas, sumado a una falta de sincronía a la hora de guardar cambios en los datos compartidos, creando brechas en el intercambio y gestión de la información. Además, la falta de un control centralizado sobre la seguridad también expuso a las empresas ante intrusiones y malware. 

Lecturas relacionadas: Inteligencia Artificial: ¿La nueva amenaza para la Nube?

En este contexto, nació el término “Shadow IT”, que se refiere a un conjunto de sistemas y herramientas informáticas que operan fuera del control del departamento de sistemas de las empresas. Si bien el Shadow IT podía ofrecer soluciones rápidas y flexibles, también representaba y representa una brecha de seguridad significativa. 

Con la explosión de la IA y la adopción desprevenida de herramientas generativas por parte de los usuarios para realizar consultas, o aprendizajes sobre temas, inquietudes e incluso la resolución de problemas de su interés, la historia parece repetirse. 

Shadow AI, es el término que describe el uso no autorizado de la inteligencia artificial de manera creativa y productiva dentro de una organización, sin seguir un protocolo de supervisión adecuado, lo que resulta en vulnerabilidades en la seguridad y la gobernanza de datos.

El Despertar de Shadow AI

El Shadow AI se extiende de forma sigilosa, infiltrándose en las empresas de múltiples formas.  Desde emails de phishing sorprendentemente realistas hasta la creación de deepfakes casi indistinguibles, los peligros de esta nueva amenaza están desatando una nueva era de terror para los CISO (Chief Information Security Officer). 

No solo se trata de robar identidades o dañar la reputación de la marca. Los vectores de ataque del Shadow AI son mucho más sofisticados, incluyendo formas más inteligentes de infiltrarse en el código y camuflarse como software o archivos legítimos para acceder y exponer datos confidenciales de propiedad privada, como secretos comerciales o información financiera. 

Y las consecuencias de sus embates pueden ser devastadoras. La pérdida de datos confidenciales puede provocar multas millonarias, daños a la reputación y, en última instancia, la pérdida de la confianza de los clientes y colaboradores.

Artículos de interés: El poder del Marketing en la Era Data Driven

La peor parte y aún más alarmante es que la mayoría de estas filtraciones pueden pasar inadvertidas hasta que es demasiado tarde, ya que la mayoría de los usuarios ejecutan IA generativa no corporativa para completar sus  actividades laborales sin ser conscientes de los riesgos que esto conlleva. 

No es de extrañar que gigantes como Apple, JPMorgan Chase, Deutsche Bank, Samsung y Amazon hayan prohibido a sus empleados el uso de ChatGPT. La sombra del riesgo se cierne sobre esta herramienta, especialmente tras la filtración de información confidencial por parte de empleados de Samsung y la reciente falla que permitió a usuarios observar conversaciones ajenas.

Descifrando los misterios de la Amenaza: ¿Por qué la Shadow AI es tan peligrosa? 

Anteriormente reservadas para científicos de datos y perfiles similares, el ML y la IA se han democratizado con el uso de lenguaje natural, ahora son integradas en diversas áreas empresariales, desde la creación de imágenes y copys hasta el desarrollo de código. Sin embargo, esta utilización generalizada carece de directrices, y según un estudio de Salesforce, el 52% de los encuestados reporta un aumento en la utilización de IA generativa.

De acuerdo con este mismo estudio, 49% de las personas ha empleado IA Generativa, y más de un tercio la usa diariamente. Por su parte, The Conference Board, el 56% de los empleados en organizaciones de EE. UU. utiliza IA Generativa, pero solo el 26% de las empresas tiene una política de IA Generativa formal, y otro 23% la está desarrollando. 

A diferencia del Shadow IT, cuyos riesgos de fuga de datos o malware pueden ser mitigados hasta cierto punto mediante la verificación de dispositivos físicos como ordenadores portátiles, smartphones y unidades USB, la Shadow AI opera en un plano intangible: el código. Al tratarse de herramientas de inteligencia artificial que se utilizan sin el conocimiento o la supervisión del departamento de IT.

Esto la hace mucho más difícil de detectar y controlar. Además, la Shadow AI es altamente maleable, lo que permite su implementación con fines maliciosos, como la creación de bots que automatizan tareas, el análisis de datos para tomar decisiones sesgadas o la generación de contenido falso.

Entre los peligros identificados destacan:

• Descontrol de aplicaciones
  El soporte de lenguaje natural ha permitido que prácticamente cualquier persona se apoye en IA generativa para el desarrollo de apps capaces de ejecutarse dentro de la empresa, pero al carecer de un dominio especializado y sin contar con un protocolo para un uso supervisado esto puede resultar en la infiltración de código malicioso no detectado.
• Fugas de información
  La IA generativa aprende de las consultas que hacemos, absorbiendo información de empresas, personas, procesos y sistemas, entre otros puntos; generalmente filtrando esta información al exterior. Lo que puede convertir usos aparentemente inofensivos como la creación de contenido de marketing en un riesgo de exponer información de carácter confidencial como estrategias de marketing o información financiera como presupuestos a todo el mundo. 
  
  Sumérgete en: Machine Learning: ¿Futuro y pilar de las tiendas online?
  
  Como mención adicional, ampliamente relacionada con este punto, la capacidad de aprendizaje y adaptabilidad de la IA, la hace más peligrosa, pues al aprender del accionar de los usuarios y las medidas de seguridad, las defensas tradicionales pueden quedarse cortas. Esto significa que las empresas y organizaciones deben estar constantemente adaptando sus medidas de seguridad para mantenerse a la vanguardia.
• Sesgos y/o discriminación de infromación
  El correcto funcionamiento de una IA generativa depende  de un correcto entrenamiento. Datos limitados o restringidos pueden conducir a sesgos no deseados y resultados erróneos.  Al trabajar en la sombra, generalmente se restringen las fuentes de información de la IA a subconjuntos específicos de la empresa o bien a criterios muy particulares, provocando una discriminación no deseada, precisamente por tener fuentes limitadas de datos para la toma de decisiones.
  
• Alucinaciones
  Las alucinaciones son uno de los riesgos más prominentes  en el mundo de las GenAI, presente incluso más allá del ámbito clandestino. Vectara, una start-up fundada por ex-empleados de Google, afirma que los chatbots de IA generativa inventan detalles en al menos el 3% de las interacciones, cifra que puede llegar incluso hasta el 27%.
  
  En el contexto de la IA en las sombras, este problema se agrava por las siguientes razones:
  
  Parámetros no verificados y prompts ambiguos: La falta de rigor en la definición de parámetros y la ambigüedad en los prompts o indicaciones dadas incrementan considerablemente la probabilidad de alucinaciones.
  
  Carencia de experiencia: Muchos usuarios que interactúan con GenAI en las sombras no cuentan con experiencia previa con esta tecnología y/o con los temas consultados. Esto los hace más susceptibles a interpretar las alucinaciones como hechos reales, lo que puede derivar en toma de decisiones equivocadas y pérdidas que de otra forma no hubiesen sucedido.
  
  Falta de transparencia: La falta de comprensión sobre el funcionamiento de los algoritmos de IA puede dificultar la identificación de errores o sesgos producidos por una alucinación.

Una nueva esperanza, Combatiendo el lado oscuro de la IA

considerando la prohibición definitiva del uso de IA generativa en tus oficinas o red de trabajo si te has modernizado a un enfoque híbrido o a distancia. Pero, ¿es la prohibición la mejor solución? ¿O existe un camino que nos permita aprovechar el poder de la IA sin sucumbir a su lado oscuro?

En esta sección, exploraremos el lado luminoso de la IA, donde la transparencia, el control y la responsabilidad son los pilares fundamentales. Descubriremos cómo, con las herramientas adecuadas, podemos unirnos al lado luminoso de la IA y convertirnos en unos maestros de esta herramienta para utilizarla de la forma correcta.

Una poderosa herramienta, la IA es, pero responsable su uso debe ser, con ética y transparencia. Para lograrlo te compartimos el código de uso responsable de la IA:

• Establecer políticas claras: Establecer normas claras para el uso de BYOAI (Bring Your Own AI) e IA generativa en general, definiendo qué herramientas son aceptables y proporcionando guías sobre seguridad y privacidad.

• Establecer un “Toolkit”: Homologar las herramientas de TI & AI mediante a un “toolkit” de herramientas autorizadas, ayuda a mantener un entorno confiable y protegido.

• Monitoreo Continuo: Implementa sistemas y protocolos de monitoreo, para identificar actividades de Shadow AI. La detección oportuna es clave para prevenir riesgos.

• Comunicación Abierta: Fomentar un diálogo abierto entre los empleados y los responsables de TI es esencial para mantener la transparencia, promover la colaboración conjunta e impulsar la seguridad y conformidad al integrar nuevas herramientas tecnológicas.
  
  Sigue leyendo en: ¿Cómo aportar valor a mi empresa a través de la Analítica de Datos?

• Capacitación Continua: Educar a los colaboradores sobre los riesgos asociados con el uso no supervisado de TI e IA, promueve el uso responsable. Además, proveer los conocimientos en el manejo de estas herramientas disminuye los riesgos por utilización inadecuada y/o alucinaciones. La conciencia es clave para un empleo responsable.

• Soporte TI:  Ofrecer alternativas seguras y respaldo con herramientas eficientes al departamento TI y otros colaboradores asegura un la conformidad y refuerza la seguridad en el desarrollo de proyectos vanguardistas.

El código de uso responsable de la IA es una herramienta esencial para las empresas que quieren utilizar la IA de forma responsable. Al seguir las recomendaciones del código, las empresas pueden aprovechar al máximo la IA mientras evitan los riesgos.

Alianza Rebelde, Combate el Shadow AI junto a Google Cloud & Amarello

¡Únete a la Alianza, y aprovecha las soluciones de Google Cloud y el expertise de Amarello para un futuro más seguro!

Google Cloud, cuenta con amplia variedad de soluciones para ayudarte a desarrollar e integrar IA corporativa de forma responsable, fácil y accesible, protegiendo tus datos de accesos no autorizados como:

Vertex AI: Tu cuartel general para el desarrollo de IA responsable.

• Construye modelos confiables y explicables: Entiende cómo funcionan y por qué toman las decisiones que toman.
• Elimina sesgos: Asegúrate de que tus modelos traten a todos los usuarios de forma justa.
• Monitoriza la producción: Garantiza que tus modelos funcionen correctamente en tiempo real.
• Audita tus modelos: Protege tu empresa del Shadow AI y cumple con las regulaciones.

BigQuery: Tu data lake para entrenar modelos más robustos.

Explora también: Big Data en la nube: ¿En qué etapa se encuentra tu empresa?

• Entrenamiento más rápido: Hasta 10 veces más rápido que otras soluciones.
• Acceso a conjuntos de datos más grandes y diversos: Mayor precisión en tus modelos.
• Análisis en tiempo real: Detecta y responde a las amenazas del Shadow AI de forma inmediata.

Security Command Center: Tu centro de control para la seguridad en la nube.

• Identifica configuraciones incorrectas y vulnerabilidades: Protege tu infraestructura de IA.
• Detecta amenazas y prioriza la solución: Responde a los ataques del Shadow AI de forma rápida y eficaz.
• Cumple con las normativas: Mantén tu empresa segura y protegida.

• Evaluar tu infraestructura tecnológica actual: Identificamos las áreas que necesitan optimización y elaboramos una propuesta personalizada.
• Diseñamos la implementación optimizada de  soluciones de Google Cloud: Adaptamos las soluciones de Google Cloud a las necesidades específicas de tu empresa.
• Garantizar la seguridad y el cumplimiento normativo: Te ayudamos a cumplir con las regulaciones de seguridad y privacidad de datos.

El futuro de la IA está en nuestras manos

Para concluir podemos afirmar que el Shadow AI es una amenaza fantasma que permanece latente, y que muy probablemente esté vinculada a los robos de información, y las incidencias que vulneran la privacidad de datos confidenciales. Se trata de una amenaza poderosa pero no invencible. 

Las prohibiciones, sólo aumentan las posibilidades de que los colaboradores caigan en el lado oscuro, potenciando sus riesgos al mantener una mayor discreción sobre su implementación. Es mejor tomar acciones proactivas y establecer un protocolo de uso responsable, ético y transparente. De igual forma, reforzar la infraestructura  empresarial con IA corporativa, mitiga significativamente los peligros de esta amenaza.  

Complementa tu lectura con: ¡Doble Victoria!: Amarello TI se Acredita el premio 2023 de Google Cloud

En Amarello Ti, estamos comprometidos con el desarrollo, integración y uso responsable de la IA. Y estamos listos para ofrecerte soluciones especializadas para desatar el potencial de esta herramienta y construir un futuro brillante para la IA con Google Cloud.  ¡Contáctanos y agenda una consulta personalizada!