Para continuar, suscribite a americateve. Si ya sos un usuario suscripto, iniciá sesión.
SUSCRIBITEGoogle afirmó que interrumpió el lunes el intento de un grupo criminal de usar inteligencia artificial para explotar una vulnerabilidad digital previamente desconocida de otra empresa, lo que se suma a la creciente preocupación en el gobierno y en la industria privada por los riesgos de la IA para la ciberseguridad.
Google compartió información limitada sobre los atacantes y el objetivo, pero John Hultquist, analista jefe del área de inteligencia de amenazas del gigante tecnológico, señaló que esto representa un momento sobre el que los expertos en ciberseguridad han advertido durante años: piratas informáticos que se arman con IA para potenciar su capacidad de irrumpir en las computadoras del mundo.
“Ya está aquí”, expresó Hultquist. “La era de las vulnerabilidades y la explotación impulsadas por IA ya está aquí”.
Esto ocurre en un momento de saltos en las capacidades de la IA para encontrar vulnerabilidades, incluido el modelo Mythos anunciado hace un mes por Anthropic. Entre quienes intentan reforzar sus defensas está la Casa Blanca del presidente Donald Trump, que ha cambiado su enfoque sobre cómo planea evaluar los modelos de IA más potentes antes de su lanzamiento público.
Tras cumplir una promesa de campaña de derogar las salvaguardas del presidente demócrata Joe Biden en torno a esta tecnología de rápido desarrollo, el gobierno republicano y sus aliados ahora envían señales contradictorias sobre que el gobierno desempeñe un papel mayor en la supervisión de la IA.
“Algunas personas no quieren que haya una respuesta regulatoria a esto y otras sí”, manifestó Dean Ball, investigador principal de la Foundation for American Innovation, quien anteriormente fue asesor de política tecnológica de la Casa Blanca y coautor principal el año pasado de la hoja de ruta de política de IA de Trump.
“No me gusta la regulación”, comentó Ball. “Preferiría que las cosas no se regularan. Pero creo que en este caso necesitamos hacerlo”.
Google indicó que observó a un grupo criminal planear una gran operación basada en una falla que habían encontrado. La vulnerabilidad les permitía eludir la autenticación de dos factores para acceder a una popular herramienta en línea de administración de sistemas, cuyo nombre Google se negó a revelar.
La empresa lo calificó como un ciberataque "día cero" que aprovecha una vulnerabilidad de seguridad previamente desconocida. “Día cero” se refiere a que los ingenieros de seguridad han tenido cero días para desarrollar una corrección para la vulnerabilidad.
Google afirmó que notificó a la empresa afectada y a las fuerzas del orden, y que pudo interrumpir la operación antes de que causara algún daño. Pero al rastrear las huellas de los hackers, encontró indicios de que habían usado un modelo de lenguaje grande de IA —la misma tecnología que impulsa los chatbots populares— para descubrir la vulnerabilidad.
Google no reveló qué modelo de IA se utilizó en el ciberataque; solo indicó que lo más probable es que no fuera ni el propio Gemini de Google ni el Claude Mythos de Anthropic. Google tampoco reveló qué grupo sospechaba como el culpable, pero dijo que no había pruebas de que estuviera vinculado a un gobierno adversario, aunque señaló que grupos vinculados a China y Corea del Norte han estado explorando técnicas similares.
Hultquist explicó que, en comparación con los espías gubernamentales, que por lo general trabajan despacio y en silencio, los hackers criminales son quienes más pueden ganar con la “tremenda capacidad de velocidad” de la IA para encontrar fallos de seguridad y convertirlos en arma.
“Hay una carrera entre ustedes y ellos para detenerlos antes de que, en esencia, consigan los datos que necesitan para extorsionarlos o lancen ransomware”, dijo en una entrevista. “La IA va a ser una enorme ventaja porque pueden moverse mucho más rápido”.
El Departamento de Comercio de Trump anunció la semana pasada que firmó nuevos acuerdos con Google, Microsoft y xAI de Elon Musk para evaluar sus modelos de IA más potentes antes de su lanzamiento público, basándose en acuerdos previos que el gobierno de Biden había alcanzado con Anthropic y OpenAI, creadora de ChatGPT. Pero el anuncio posteriormente desapareció del sitio web del Departamento de Comercio.
Fue el ejemplo más reciente de señales confusas del gobierno de Trump en el mes transcurrido desde que Anthropic anunció el Mythos que, según dijo, era tan capaz en tareas de hackeo y ciberseguridad que solo podía publicarlo para un pequeño grupo de organizaciones de confianza.
Anthropic creó una iniciativa llamada Project Glasswing que reúne a gigantes tecnológicos, entre ellos Amazon, Apple, Google y Microsoft, junto con otras empresas como JPMorgan Chase, con la esperanza de proteger el software crítico del mundo frente a las consecuencias “graves” que el nuevo modelo podría suponer para la seguridad pública, la seguridad nacional y la economía. Pero su relación con el gobierno se complicó por una disputa pública y legal con el Pentágono y con el propio Trump sobre el uso militar de su tecnología de IA.
Su principal rival, OpenAI, desde entonces ha presentado un modelo similar. La empresa dijo el viernes que estaba lanzando una versión especializada de ciberseguridad de ChatGPT que solo estaría disponible para “defensores responsables de proteger infraestructura crítica”, para ayudarles a encontrar y corregir vulnerabilidades en su código.
Ball dijo que es optimista en que, a largo plazo, las herramientas de IA cada vez mejores para programar nos harán estar más seguros frente a los ciberataques rutinarios que afectan a hospitales, escuelas y otras organizaciones. Mientras tanto, sin embargo, advirtió que existen “un número incalculable de líneas de código de software” que sostienen los sistemas informáticos del mundo y que están en riesgo si se liberan herramientas de IA para explotar todos sus fallos.
Podrían pasar años para reforzar todo ese software —un proceso que Ball cree que se vería favorecido por la coordinación del gobierno de Estados Unidos.
Mientras tanto, Ball prevé un “periodo de transición” en el que los riesgos de ciberseguridad aumenten de forma significativa y “el mundo podría ser en realidad más peligroso”.
___________________________________
Esta historia fue traducida del inglés por un editor de AP con ayuda de una herramienta de inteligencia artificial generativa.
FUENTE: AP
Suscribite a nuestro Newsletter
