Aunque la inteligencia artificial (IA) sigue siendo una tecnología novedosa y estimulante, no deja de ser una herramienta más. Si decide implantarla en su organización, debe conocer los posibles riesgos a los que podría estar expuesto.
Somos conscientes de los beneficios de la IA, pero, dado que actualmente el 35 % de las empresas ya la están adoptando, el enfoque debe desplazarse hacia cómo prepararse para cuando surja algún problema. Esto incluye comprender cómo puede explotarse la IA para engañar, manipular o perjudicar a las organizaciones, así como conocer las herramientas disponibles para defenderse y mitigar riesgos.
La IA se utiliza de forma deshonesta
Uno de los principales riesgos asociados a la inteligencia artificial es su capacidad para permitir que las personas simulen ser quienes no son. Por ejemplo, la IA puede crear currículums (o CV) muy atractivos y agilizar el proceso de elaboración. En un mercado laboral cada vez más competitivo, muchos titulados utilizan herramientas como OpenAI o ChatGPT para redactar sus cartas de presentación junto con los CV. Aunque esto les ayuda a superar los filtros iniciales de los procesos de selección, las empresas detectan, al entrevistar a los candidatos, discrepancias entre las cualificaciones reflejadas en el papel y la realidad de la persona que tienen enfrente.
Del mismo modo, las entidades financieras suelen utilizar formularios online e IA para decidir si conceden o no un préstamo o una línea de crédito. La automatización de este tipo de procesos implica que las empresas no siempre se encuentran cara a cara con las personas, lo que las convierte en un objetivo prioritario para quienes quieren aprovecharse del sistema.
En una variante de los ataques de whaling tradicionales (una forma de phishing dirigida a altos cargos), recientemente se han registrado casos en los que estafadores utilizan IA para falsificar solicitudes en nombre del Chief Financial Officer (CFO).
Estos ejemplos ponen de manifiesto la necesidad de que las organizaciones actúen con cautela, implanten procesos de verificación sólidos y ofrezcan formación a las partes interesadas.
Prácticas empresariales poco éticas
La IA puede maximizar las ventajas empresariales mediante estrategias de precios dinámicos mejoradas online. El 94 % de los consumidores compara precios cuando compra por internet, y los algoritmos rastrean ese comportamiento para ofrecer precios personalizados en función de sus hábitos de gasto. No obstante, las empresas pueden verse tentadas a recurrir a estrategias de precios engañosas, explotando los algoritmos para evaluar cuánto estaría dispuesto a pagar un consumidor, en lugar de ofrecer un precio adecuado.
Esta manipulación va más allá de los ajustes de precios. Algunas compañías podrían utilizar algoritmos sofisticados para predecir e influir en el comportamiento del consumidor, lo que podría traspasar límites éticos si se aprovechan de sus preferencias o vulnerabilidades.
Riesgos internos y de terceros
Las amenazas internas constituyen un nivel adicional de complejidad. Un empleado descontento con acceso a algoritmos de IA podría sabotear operaciones o comprometer datos sensibles. Al introducir intencionadamente información confidencial en sistemas de IA generativa, los empleados podrían exponer secretos de la organización, lo que supondría un riesgo grave de seguridad tanto para la empresa como para sus clientes. A principios de 2023, una empresa multinacional del sector de la electrónica prohibió a sus empleados el uso de IA después de descubrir que un empleado había filtrado información interna sensible al utilizar IA con fines laborales.
Muchas organizaciones dependen de proveedores externos para datos y servicios esenciales. Sin embargo, esta colaboración introduce riesgos, ya que la parte externa puede tener otros sesgos y un nivel de tolerancia al riesgo diferente, que no esté alineado con las expectativas o estándares de la empresa. Este desajuste puede dar lugar a vulnerabilidades, desde desarrollos acelerados que carecen de medidas de seguridad, hasta una mayor susceptibilidad a manipulaciones.
Defensa ante los riesgos
La seguridad se basa en tres principios: confidencialidad, integridad y disponibilidad, y todas las medidas de control implantadas deben proteger estos pilares. A medida que avanzan las técnicas para atacarlos, las defensas también deben evolucionar. Las organizaciones pueden mitigar los riesgos mediante:
- Estrategia integral de defensa: es importante evaluar y supervisar los sistemas de IA, verificar la fiabilidad de las colaboraciones con terceros y protegerse ante una amplia variedad de amenazas potenciales, incluidas las derivadas de usuarios malintencionados y algoritmos manipulados.
- Gobierno responsable y divulgación: las amenazas a la ciberseguridad y los riesgos éticos deben abordarse desde un gobierno equilibrado. La falta de medidas proactivas puede derivar no solo en daños reputacionales, sino también en la pérdida de confianza en sectores enteros.
- Prácticas responsables de IA: tanto desarrolladores como empresas deben aplicar prácticas responsables como el diseño centrado en el ser humano, la protección de la privacidad y la seguridad de los datos, la transparencia y la rendición de cuentas, a lo largo de todas las etapas de la cadena de valor.
- Cumplimiento regulatorio: Manténgase al día de las normas y regulaciones en evolución relacionadas con la IA y la ciberseguridad, como la Norma ISO 27001 o el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) . Garantice la conformidad con las regulaciones aplicables para evitar riesgos legales y regulatorios.
El poder transformador de la IA es innegable. No obstante, su uso responsable exige un esfuerzo colectivo y un equilibrio entre el avance tecnológico y la responsabilidad ética. Solo mediante una defensa proactiva y sólida, y un compromiso sectorial con unas prácticas éticas en IA, las empresas y la sociedad podrán aprovechar todo su potencial y, al mismo tiempo, protegerse de los riesgos inherentes.