Kaspersky lanza sus directrices para mejorar la seguridad de los sistemas de IA

  • Actualidad
ciberseguridad IA
©Freepik

El documento proporciona requisitos de ciberseguridad que deben considerarse al implementar estos sistemas. Estos son cruciales para las organizaciones que dependen de modelos de IA de terceros y sistemas basados en la nube, donde las vulnerabilidades pueden provocar brechas de datos y daños reputacionales.

Kaspersky ha presentado recientemente sus directrices para el desarrollo y la implementación segura de sistemas de inteligencia artificial (IA). El documento, desarrollado en colaboración con destacados expertos académicos, tiene como objetivo ayudar a las organizaciones a evitar los riesgos asociados con la adopción de tecnologías de IA. Las directrices abordan la urgente necesidad de contar con marcos de seguridad sólidos, ya que la IA se ha vuelto fundamental en industrias de todo el mundo.

El documento aborda aspectos clave del desarrollo, la implementación y la operación de sistemas de IA, incluyendo el diseño, las mejores prácticas de seguridad y la integración, sin centrarse en el desarrollo de modelos fundacionales. Las directrices de Kaspersky enfatizan los siguientes principios para mejorar la seguridad de los sistemas de IA:

1. Concienciación y capacitación en ciberseguridad: Kaspersky destaca la importancia del apoyo del liderazgo y la capacitación especializada de los empleados. Los equipos deben conocer los métodos que usan los actores maliciosos para explotar los servicios de IA. Las actualizaciones periódicas de los programas de capacitación garantizan la alineación con las amenazas en evolución.

2. Modelado de amenazas y evaluación de riesgos: las directrices subrayan la necesidad de identificar y mitigar riesgos de manera proactiva mediante el modelado de amenazas, que ayuda a detectar vulnerabilidades de forma temprana en el desarrollo de IA. Kaspersky sugiere utilizar metodologías de evaluación de riesgos establecidas (por ejemplo, STRIDE, OWASP) para evaluar amenazas específicas de la IA, como el uso indebido del modelo, el “envenenamiento” de datos y las debilidades del sistema.

3. Seguridad de la infraestructura: los sistemas de IA, a menudo implementados en entornos en la nube, requieren estrictas medidas de protección, como cifrado, segmentación de red y autenticación de dos factores. Kaspersky enfatiza los principios de confianza cero, canales de comunicación seguros y parches regulares de la infraestructura para protegerse contra brechas.

4. Cadena de suministro y seguridad de datos: Kaspersky destaca los riesgos que presentan los componentes y modelos de IA de terceros, incluidos filtraciones de datos y el uso indebido de la información obtenida para su reventa. En este sentido, las políticas de privacidad y las prácticas de seguridad de los servicios de terceros, como el uso de “safetensors” y las auditorías de seguridad, deben aplicarse de forma estricta.

5. Pruebas y validación: la validación continua de los modelos de IA garantiza su fiabilidad. Kaspersky promueve la supervisión del rendimiento y la notificación de vulnerabilidades para detectar problemas que son consecuencia de la deriva de datos de entrada o de ataques adversarios. La correcta partición de conjuntos de datos y la evaluación de la lógica de toma de decisiones del modelo son esenciales para mitigar riesgos.

6. Defensa frente a ataques específicos de aprendizaje automático: las directrices resaltan la necesidad de proteger los componentes de IA frente a ataques específicos de aprendizaje automático, como entradas de atacantes, envenenamiento de datos y ataques de ‘prompt injection’. Medidas como la incorporación de ejemplos adversarios en el conjunto de entrenamiento, los sistemas de detección de anomalías y las técnicas de destilación mejoran la robustez del modelo frente a la manipulación.

7. Actualizaciones y mantenimiento regulares de seguridad: Kaspersky hace hincapié en la frecuencia de los parches de bibliotecas y marcos de IA para abordar las vulnerabilidades emergentes. La participación en programas de recompensas por descubrimiento de errores (bug bounty) y la gestión del ciclo de vida de los modelos de IA basados en la nube pueden reforzar aún más la resiliencia del sistema.

8. Cumplimiento de normas internacionales: cumplir con regulaciones globales y mejores prácticas, así como auditar los sistemas de IA para cumplir con la ley, ayuda a las organizaciones a alinearse con los requisitos éticos y de privacidad de datos, fomentando la confianza y la transparencia.

“Con la creciente adopción de la IA, asegurarla no es opcional, sino esencial. A través de estas directrices, contribuimos a un diálogo con múltiples actores para definir estándares que salvaguarden la innovación y ayuden a combatir las amenazas cibernéticas emergentes”, explica, Yuliya Shlychkova, vicepresidenta de Asuntos Públicos en Kaspersky.