Este 2024 dejó grandes enseñanzas en materia de ciberseguridad, las cuales plantean la necesidad de ‘blindarse’ de alguna manera durante el 2025, especialmente en lo que tiene que ver con las amenazas potencias por la IA y la creciente vulnerabilidad de tecnologías operativas (OT).

Gracias a la IA Generativa algunas personas pueden falsificar vídeos, imágenes, etcétera. | Foto: Getty Images

Lo anterior, según ESET Latinoamérica, compañía líder en detección proactiva de amenazas, exigirán regulaciones y defensas más robustas.

“El 2025 teorizamos que estará marcado por la creciente necesidad de protección de los sistemas OT (Tecnología Operativa), esenciales para infraestructuras críticas. Además, el uso malicioso de la IA generativa planteará nuevas amenazas. Estas cuestiones estarán ligadas a desafíos legales y éticos que plantean la necesidad de regulaciones más claras y efectivas.”, asegura Fabiana Ramirez Cuenca, Investigadora del Laboratorio de ESET Latinoamérica.

Respecto a la IA Generativa, advierten que es quizás la inteligencia artificial más implementada de la actualidad, destacándose por su capacidad para generar contenido como textos, imágenes, videos, música, voces, entre otros, lo que por ejemplo permite mejorar la creatividad y eficiencia en diversas industrias.

Sin embargo, los cibercriminales también la aprovechan para fines maliciosos, como la creación de deepfakes (es un video, una imagen o un audio generado que imita la apariencia y el sonido de una persona) y la automatización y perfeccionamiento de ataques cibernéticos.

A través de este tipo de IA también se puede acceder a algoritmos de fuentes abiertas, adaptarlos, modificarlos y aprovecharlos para distintos fines. La posibilidad de automatizar tareas, generar o perfeccionar código malicioso, planificar campañas, entre otras, hacen atractiva esta tecnología para actores maliciosos, incluso los más inexpertos.

Recientemente OpenAI, la compañía detrás de ChatGPT, ha emitido un informe Influence and cyber operations: an update (Influencia y operaciones cibernéticas: una actualización) en el que detalla cómo diversos cibercriminales han utilizado sus modelos de IA para realizar tareas de fases intermedias en los ciberataques - luego de haber adquirido algunas herramientas básicas, pero antes de desplegar sus ataques, sean de phishing o distribución de malware, por distintos medios.

En el mismo informe, la empresa identifica que distintos grupos APT (Amenazas Persistentes Avanzadas) han utilizado la tecnología para, por ejemplo, el debugging (depuración) de código malicioso, la investigación de vulnerabilidades críticas, el perfeccionamiento de phishing, generación de imágenes y comentarios falsos, entre otras.

A través de este tipo de IA también se puede acceder a algoritmos de fuentes abiertas, adaptarlos, modificarlos y aprovecharlos para distintos fines. | Foto: Imagen generada con IA: Copilot

“Podríamos esperar para el 2025 la continuidad del uso de la IA generativa para la mejora de campañas que inicien con ingeniería social; el aprovechamiento de los algoritmos para el diseño de códigos maliciosos; el posible abuso de aplicaciones de compañías que usen algoritmos IA open source y, por supuesto, la sofisticación de los deepfakes y la posible interacción con la realidad virtual.”, agrega Ramirez Cuenca.

Retos legales y éticos

Ahora bien, frente al crecimiento de la IA generativa y su potencial uso malicioso, aparecen desafíos legales y éticos que en su mayoría aún no han sido eficientemente abordados. Entre estos se encuentran interrogantes como quién es el responsable por los actos de la IA, qué límites debería imponerse a su desarrollo, o qué organismo es competente para juzgarlo. En la actualidad existen muy pocas normas a nivel internacional que aborden las problemáticas emergentes del uso de la IA y aquellas que existen muchas veces resultan insuficientes frente a un panorama de desarrollo acelerado de esta tecnología.

Entre las normas más destacadas se encuentra el Acta de IA de la Unión Europea (existente desde 2023) que pretende garantizar la ética y transparencia, así como el desarrollo seguro y protección de derechos humanos, abordando la IA desde un enfoque basado en riesgos, clasificando algoritmos según su peligrosidad. En paralelo, los EEUU cuentan con varios abordajes, desde una iniciativa nacional de IA, una Orden Ejecutiva para el uso seguro y confiable de la IA y un proyecto de carta de derechos de la IA que se encuentra en tratamiento.

A nivel Latinoamérica no ha habido grandes avances durante el 2024 aunque la mayoría de los países cuentan al menos con decretos, salvo el caso de Perú que cuenta con una ley. Recientemente el PARLATINO ha propuesto una Ley Modelo que quizás inspire legislaciones a nivel interno.

Para el 2025 es probable que a nivel regulatorio haya un mayor escrutinio en Algoritmos y Modelos de IA para garantizar transparencia y explicabilidad -que sus decisiones puedan ser comprendidas por las personas-, esto de la mano de la protección de datos para garantizar la privacidad en el uso de la IA. | Foto: Kilito Chan

“Para el 2025 es probable que a nivel regulatorio haya un mayor escrutinio en Algoritmos y Modelos de IA para garantizar transparencia y explicabilidad -que sus decisiones puedan ser comprendidas por las personas-, esto de la mano de la protección de datos para garantizar la privacidad en el uso de la IA. Veremos la búsqueda de soluciones para los daños generados por la IA y la promoción desde lo regulatorio de la ética en el uso y desarrollo de esta tecnología. También seguirán los avances en regulaciones sobre ciberseguridad aplicadas a la temática y en materia de cooperación internacional”, comenta la investigadora de ESET Latinoamérica.