“Ser ágiles con la IA sin construir una política de seguridad clara está causando bastantes problemas”, Daniel Howe, Fastly

En el último Global Security Research Report de Fastly, se habla del riesgo de las empresas AI-first. ¿Cómo definís ese concepto y en qué punto se encuentran esas empresas?

Las empresas AI-first son las que se suben al carro de cualquier inteligencia artificial que está apareciendo, dentro de diferentes áreas de negocio, sin que realmente estén todas bajo un mismo paraguas de política de seguridad y con unas ideas claras de hasta dónde pueden utilizarse. Son empresas que rápidamente apuntan al beneficio que nos traen las Ias. Aunque hay que entenderlo como tal, intentar ser tan ágiles sin construir una política de seguridad clara y una identificación de dónde están, sin definir bien sus barreras, pues está causando bastantes problemas a posteriori en diferentes áreas. Hablamos de empresas que se lanzan a aplicar todas estas tecnologías sin que haya habido un análisis anterior para poder definir bien dónde van a estar las líneas rojas de cara a la autorización de estas herramientas.

 

¿Cuáles son los principales riesgos que habéis identificado en este uso de la IA? 

Es curioso porque, por primera vez, uno de los principales riesgos que están surgiendo son los propios errores en software, cosa que ya habíamos superado frente a los típicos atacantes externos. En un 40% de los casos la principal causa han sido los tradicionales bugs, los errores de código. Algo asociado a toda esta rapidez en avanzar y en entregar y en ponernos en manos de unas herramientas que, como bien indica su nombre, necesitan un proceso de aprendizaje y no directamente van a poder codificar o programar rápidamente. El principal problema como tal son los errores de software.

Otra cosa es la superficie ataque. Es cierto que aquí hay una cuestión diferente, que es el concepto de scraping, lo que es la extracción de datos. A nuestros clientes, sobre todo los gestores de contenido, les está cambiando completamente el negocio. Antes utilizábamos Google y cada X páginas bajábamos a la información, podíamos leer el artículo, veíamos que éramos capaces de consumir ese contenido. Eso está desapareciendo. Ahora nos está diciendo la IA una serie de información, nos deja un link por si queremos ir, pero en general se está viendo que no se va. Toda esa extracción de datos está generando un problema también importante para muchos negocios basados en el contenido.

Además, como con cualquier tecnología nueva que aparece, está la cuestión del talento. Ya de por sí este sector siempre anda con crisis de falta talento para poder afianzar equipos de seguridad. Ahora más aún con una experiencia específica centrada en la IA.

 

Hablando del scraping de IA, el informe de Fastly decía que el 57 % de las organizaciones españolas ya le está asignando costes a eso, con una media de 155.000 dólares. ¿Cómo habéis definido el coste que eso supone?

Esto va asociado a cuál es la generación de negocio de estos clientes. Todo aquel cliente que tiene un contenido publicado en Internet tiene dos maneras de rentabilizarlo, bien por publicidad o bien por acceso mediante suscripción. En este cálculo hemos utilizado una combinación de los dos, conociendo la media de lo que puede ser la parte de negocio que viene de la pérdida de visitas, de anuncios, por un lado; o la pérdida de usuarios potenciales que podrían pagar el contenido para visualizar. Al final, es un volumen demasiado alto; aunque sea indirecto, porque no podemos dar el detalle exacto, se ajusta bastante a la realidad, asumiendo que estamos en valores en torno al 50% de tráfico de bots de IA, en algunos clientes incluso del 70%.

 

¿De qué manera se están defendiendo las empresas como tal? ¿Cómo están orientando sus inversiones para intentar mejorar su postura de seguridad?

Hay herramientas que ayudan a gestionar este tipo de agentes y a identificar y tomar una decisión. Es cierto que yo, cuando tengo una reunión con los clientes sobre este tema, es algo que dejo completamente a la decisión de negocio. Es negocio el que tiene que decidir cómo trabajar. Yo no creo que a día de hoy haya alguien que tenga claro qué hacer con la IA, qué hacer con estos consumidores de datos. ¿Queremos seguir dándoles estos datos? ¿Queremos bloquearlos? ¿Queremos hacerles pasar por alguna pasarela de pago? Cada cliente utiliza unas opciones.

Tenemos una posibilidad de colaboración con una empresa que te puede dar una serie de tokens en base a unos consumos que tengas. Nosotros permitimos y podemos gestionar reglas de control de uso y a partir de cierto uso, lo podemos limitar. Somos muy flexibles a la hora de dar soluciones. Lo que nosotros buscamos, desde un punto de vista de la seguridad, es dar suficiente visibilidad de ese tráfico a nuestros clientes para que conozcan qué está ocurriendo. Creo que ahora mismo nadie es capaz de tener claro si el consumo que estoy teniendo verídico o es un consumo generado por un tercero.

 

¿Recomiendas que se utilice tipo Github Copilot, herramientas de ese estilo, para la generación del propio código? ¿O solamente si están en un punto más maduro?

La semana pasada estuvimos hablando con un cliente de un proyecto que tenía y hablábamos de Claude. Él decía: “ya tiene mis claves de GitHub, está haciéndome todo”. Y esta mañana ya ha salido una vulnerabilidad de Claude que pone riesgo todo aquello que estabas defendiendo. Quizás conviene no lanzarnos demasiado y trabajar en la seguridad por diseño. Intentar utilizar, antes de nada, una seguridad específica para el desarrollo, acotar muy bien estos productos que estén más maduros. Y, sobre todo, incluso aunque acabemos perdiendo ciertas funcionalidades, apostar por algún entorno que esté algo más maduro en este sector y no salirnos de una línea.

Cuanto más acotado se encuentre el entorno de herramientas de terceros, de este potencial y de esta aceleración de la evolución de los desarrollos, mejor para poder tomar una acción y en un momento dado poder contener la seguridad. El mismo concepto de divide y vencerás, funciona: quédate con un trocito, controla bien ese trocito, aprovecha ese beneficio que te va dando.

También hay una parte muy importante de la IA, todo lo relacionado con el Machine Learning. El ejercicio de Machine Learning interno, sea con la herramienta que sea, genera un conocimiento centrado que va a hacer la IA más capaz de ayudarte. Es mejor que empezar a dispersarnos y utilizar muchas herramientas, que al final generan más posibles puertas traseras, que en algún momento dado puedan ser malintencionadas o sus credenciales robadas.

 

A inicios de año ya se ha hablado de algún ciberataque hecho de forma completamente autónoma por una IA. ¿Crees que esa autonomía va a marcar la diferencia?

La capacidad de una IA para poder automatizar algo que ya existe hoy, que puedes comprar online, como una denegación distribuida de servicio a un cliente, no va a dar mucho más valor.  No creo que el hecho de que yo tenga un prompt en el cual defina que quiero atacar un negocio específico sea muy distinto de poner ahora mismo 20 dólares y que unas máquinas virtuales en diferentes entornos a nivel planetario lacen un ataque distribuido que puedo controlar. Es probable que lleguen a ser más sofisticados esos ataques y que tengan una capacidad mayor de poder penetrar porque podrán aprender y podrán evolucionar. Pero esto no deja de ser lo que también nosotros conocemos como ataques maliciosos de alta complejidad que ya existen.

Ha habido siempre mucho negocio en conseguir romper las barreras de seguridad de muchos tipos de empresas, tanto financieras como gubernamentales o de retail. Hay mucho dinero detrás, mucha inteligencia y mucha capacidad para lanzar bots muy avanzados con muchísimas funciones. Con la IA faltaría, en vez de que haya alguien muy inteligente programando, será alguien menos inteligente o más básico el que pueda hacerlo. Pero el resultado yo no creo que vaya a ser distinto, al menos de momento.

Sí creo que genera muchísimo más ruido, genera muchísima incertidumbre de volúmenes y de tráfico real. Hay que aprender a vivir con él, hay que vigilarlo, pero desde un punto de vista de nuestros clientes lo importante es darle visibilidad y ayudarles a tomar decisiones y buscar alternativas. Nosotros trabajamos mucho con el concepto de Deception, en lo que este año vamos a hacer bastante hincapié. Ayudamos a nuestros clientes a encontrar una manera de que los bots maliciosos, tanto si viene de IA como si no, puedan avanzar… Que sigan trabajando en su tarea y hagan ver que se está llevando una información que a lo mejor no es válida o que está scrapeada o que ha sido modificada. No bloquear directamente el bot, porque una de las cosas que ya conocemos sobre los ataques de bots es que una vez que se bloquean vuelven a venir con el siguiente nivel. Esto lo estamos viendo ya en muchos tipos de ataques que detectamos.

 

¿Qué evolución esperas para la seguridad de la IA?

Yo creo que hay que pararse un segundo, cosa que es muy difícil en estos momentos, y hacer ese análisis de seguridad. Decir: “vamos a tener una implementación de seguridad estricta y vamos a intentar pasar todos por un control, vamos a encaminarnos”. Si nuestro volumen de control recae solo en tres aplicaciones de IA, pues son tres las que podemos permitirnos y si solo es una, entonces una; de manera que el ámbito al que alcancemos sea algo a lo que podamos responder.

Hay que hacer una concienciación importante de cara a los usuarios, como la ha habido siempre con el concepto de phishing. Hay que continuar con esa concienciación: aunque ayude mucho una herramienta y te pueda hacer tu trabajo, a lo mejor estás abriendo una brecha de seguridad por utilizar una herramienta que no ha sido homologada por la empresa. Es importante que el paraguas que los CISO implementan, ya sean la ISO27001 o las reglas que pongan en marcha, continúen aplicando para toda la parte de la IA. Si dejas esa pieza fuera, la facilidad con la que podamos perder información es altamente costosa.