La mitad de las organizaciones no tiene controles de seguridad para la IA
- Seguridad
Según el Microsoft Cyber Pulse Report, un 29% de los empleados reconoce que utiliza agentes de inteligencia artificial que no han sido autorizados por sus organizaciones, lo que ilustra el crecimiento de shadow AI y pone de relieve la importancia de la visibilidad y la gobernanza de la IA.
Microsoft ha presentado su primer estudio Cyber Pulse, que viene a sustituir a su habitual Cyber Signals. El informe, basado tanto en la propia telemetría de la compañía como en los datos de encuestas realizadas por Microsoft el pasado año, refleja el grado de adopción de la inteligencia artificial, especialmente la agéntica, y detalla los principales riesgos asociados a su uso que han detectado.
Según su análisis, este año se producirá una adopción global de los agentes de IA, con la creación de los mismos democratizada gracias al uso de herramientas de low-code y no-code. De hecho, en estos momentos cerca del 80% de las empresas presentes de la lista Fortune 500 ya cuenta con agentes de IA activos que se han creado con este tipo de herramientas.
Los sectores que han avanzado más en la IA son industria (13%), servicios financieros (11%) y retail (9%). La región del mundo de mayor crecimiento el pasado noviembre fue EMEA, con un 42%, seguida de Estados Unidos (29%), Asia (19%) y el resto de América (10%). Las empresas pioneras ya trabajan con equipos “mixtos” de humanos y agentes de IA.
Los dobles agentes de IA
El previsible crecimiento de la IA agéntica hace que sean mucho más relevantes los riesgos asociados a su uso que ha identificado Microsoft. Uno de los principales, la IA en la sombra, impulsada por un crecimiento de agentes más rápido que el de los controles de seguridad. Los ciberdelincuentes podrían explotar los accesos y privilegios de esos agentes, que se convertirían en agentes dobles.
Sin necesidad de elucubrar sobre el futuro, en la actualidad ya hay un 29% de empleados que utiliza agentes que no han sido autorizados por su empresa. Y podrían ser bastantes más, teniendo en cuenta que el 53% de las organizaciones no aplica controles de seguridad específicos para proteger los entornos de desarrollo de la inteligencia artificial. Para Microsoft, “ha llegado la naturaleza dual de la IA: innovación extraordinaria combinada con riesgos sin precedentes”.
Para minimizar los riesgos, la principal clave que ofrece la compañía es aplicar a los agentes de IA los mismos principios de Zero Trust que se aplican a las identidades humanas. Lo que significa: “Menos privilegios de acceso, dando a cada usuario, agente de IA o sistema lo que necesitan, nada más; verificación explícita, confirmando siempre quién o qué solicita acceso utilizando identidad, dispositivo de salud, ubicación y nivel de riesgo; asumir que se pueden ver comprometidos, diseñando los sistemas como si los atacantes fueran a entrar en ellos”.
