El mundo digital cambia rápidamente. Su ciberseguridad necesita mantenerse al día.

Solo en 2022, se produjeron un total de 4 100 filtraciones de datos divulgadas públicamente, lo que incluye unos 22 000 millones de registros que quedaron expuestos. Todo esto a pesar de que las organizaciones de todo el mundo gastaron una cifra récord de 150 000 millones de dólares en ciberseguridad en 2021. El software en sí también está cambiando. El auge de la inteligencia artificial en general, y de la IA generativa en particular, está alterando de manera fundamental la forma en que las empresas utilizan el software. El uso cada vez mayor de la IA, a su vez, complica las superficies de ataque del software y hace que el propio software sea más vulnerable. Entonces, ¿cómo deberían las empresas proteger su software y sus datos? Lo que las empresas pretenden lograr con sus programas de seguridad debe evolucionar, del mismo modo que ha evolucionado la forma en que las empresas utilizan los datos y el software. Ya es hora de que sus esfuerzos de ciberseguridad cambien. Este artículo cubre tres de esos cambios que las empresas pueden realizar para adaptarse a las crecientes inseguridades del mundo digital.

••• ¿De qué sirve la ciberseguridad? La pregunta puede parecer básica, pero aborda uno de los problemas más importantes a los que se enfrentan las empresas de todo el mundo. De hecho, esta pregunta es muy importante porque, a pesar de los repetidos intentos de apuntalar los sistemas digitales en las últimas décadas, los riesgos de ciberseguridad siguen siendo generalizados. Solo en 2022, un total de[4.100 filtraciones de datos divulgadas públicamente](https://www.cshub.com/attacks/articles/the-biggest-data-breaches-and-leaks-of-2022) ocurrió, compuesto por unos 22 000 millones de registros que estuvieron expuestos. Todo esto a pesar de que las organizaciones de todo el mundo gastaron un récord[150 000 millones de dólares](https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/cybersecurity/new-survey-reveals-2-trillion-dollar-market-opportunity-for-cybersecurity-technology-and-service-providers) sobre ciberseguridad en 2021. El software en sí también está cambiando. El auge de la inteligencia artificial en general, y de la IA generativa en particular, está alterando de manera fundamental la forma en que las empresas utilizan el software. El uso cada vez mayor de la IA está, a su vez, creando software[superficies de ataque más complicadas](/2023/04/cyber-risk-is-growing-heres-how-companies-can-keep-up) y el software en sí[más vulnerable](https://fpf.org/blog/warning-signs-identifying-privacy-and-security-risks-to-machine-learning-systems/). Entonces, ¿cómo deberían las empresas proteger su software y sus datos? La respuesta no es que la ciberseguridad sea un esfuerzo inútil, ni mucho menos. En cambio, lo que las empresas pretenden lograr con sus programas de seguridad debe evolucionar, del mismo modo que ha evolucionado la forma en que las empresas utilizan los datos y el software. Ya es hora de que sus esfuerzos de ciberseguridad cambien también. Más específicamente, las empresas pueden adaptarse a las crecientes inseguridades del mundo digital introduciendo tres cambios en la forma en que apuntalan su software: ## Tres formas en las que las empresas pueden mejorar su ciberseguridad ### En primer lugar, los programas de ciberseguridad ya no deben tener como objetivo principal evitar los fracasos. Los sistemas de software, la IA y los datos en los que se basan son tan complejos y frágiles que el fracaso es, de hecho, un[función](https://www.oreilly.com/radar/what-to-do-when-ai-fails/) de estos sistemas, no es un error. Porque los sistemas de IA en sí mismos son intrínsecamente probabilísticos, por ejemplo, la IA es[garantizado](https://en.wikipedia.org/wiki/All_models_are_wrong) equivocarse a veces; sin embargo, idealmente, un poco menos que los humanos. Lo mismo ocurre con los sistemas de software, no porque sean probabilísticos, sino porque a medida que su complejidad aumenta, también lo hacen sus[vulnerabilidades](https://www.newstatesman.com/spotlight/cybersecurity/2022/06/software-is-becoming-more-interdependent-and-thats-a-big-security-problem). Por esta razón, los programas de ciberseguridad deben cambiar su enfoque de intentar _impedir_ incidentes a _detectar y responder_ a los fracasos cuando se producen inevitablemente. Adoptar las denominadas arquitecturas de confianza cero, que se basan en el supuesto de que todos los sistemas pueden o se verán comprometidos por los adversarios, es una de las muchas maneras de reconocer estos riesgos y responder a ellos. El gobierno de los Estados Unidos incluso tiene[una estrategia de confianza cero](https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf), que está implementando en todos los departamentos y agencias. Pero la adopción de arquitecturas de confianza cero es solo uno de los muchos cambios que tienen que producirse para aceptar los fallos en los sistemas de software. Las empresas también deben invertir más en sus programas de respuesta a incidentes, unir su software y su IA para varios tipos de fallos mediante la simulación de posibles ataques, reforzar la planificación interna de la respuesta a los incidentes para los sistemas de software e IA tradicionales, y más. ### En segundo lugar, las empresas también deben ampliar su definición de «fallo» para los sistemas de software y los datos para abarcar algo más que los riesgos de seguridad. Los fallos digitales ya no están relacionados únicamente con la seguridad, sino que ahora implican una serie de otros posibles daños, que van desde errores de rendimiento hasta problemas de privacidad, discriminación y más. De hecho, con la rápida adopción de la IA, la definición de incidente de seguridad en sí misma ya no está clara. Las ponderaciones (el «conocimiento» entrenado almacenado en un modelo) del modelo de IA generativa LlAMA de Meta, por ejemplo,[se filtraron](https://arstechnica.com/information-technology/2023/03/you-can-now-run-a-gpt-3-level-ai-model-on-your-laptop-phone-and-raspberry-pi/amp/) al público en marzo, lo que permitirá a cualquier usuario ejecutar el multimillonario modelo de parámetros en su portátil. Puede que la filtración haya empezado como un incidente de seguridad, pero también generó nuevos problemas de propiedad intelectual sobre quién tiene derecho a usar el modelo de IA (robo de propiedad intelectual) y socavó la privacidad de los datos en los que se entrenó el modelo (saber que los parámetros del modelo pueden[ayudar a recrear](https://www.arxiv-vanity.com/papers/1802.08232/) son datos de entrenamiento y, por lo tanto, infringen la privacidad). Y ahora que es de libre acceso, el modelo se puede utilizar más ampliamente para crear y difundir desinformación. En pocas palabras, ya no hace falta un adversario para comprometer la integridad o la disponibilidad de los sistemas de software; los cambios en los datos, las interdependencias complejas y los usos no deseados de los sistemas de IA pueden provocar fallos por sí solos. Por lo tanto, los programas de ciberseguridad no pueden relegarse a centrarse únicamente en los fallos de seguridad; esto, en la práctica, hará que los equipos de seguridad de la información sean menos eficaces con el tiempo a medida que aumente el alcance de los fallos de software. En cambio, los programas de ciberseguridad deben formar parte de esfuerzos más amplios centrados en la gestión general del riesgo: evaluar cómo se pueden producir los fallos y gestionarlos, independientemente de si el fallo lo generó un adversario o no. Esto, a su vez, significa que los equipos de seguridad de la información y gestión de riesgos deben incluir personal con una amplia gama de conocimientos, más allá de la seguridad. Los expertos en privacidad, los abogados, los ingenieros de datos y otros desempeñan funciones clave a la hora de proteger el software y los datos de las amenazas nuevas y cambiantes. ### En tercer lugar, la supervisión de los fallos debe ser uno de los esfuerzos más prioritarios de todos los equipos de ciberseguridad. Lamentablemente, este no es el caso actualmente. El año pasado, por ejemplo, se necesitaron empresas[una media de 277 días, o aproximadamente 9 meses](https://www.ibm.com/reports/data-breach), para identificar y contener una infracción. Y es muy común que las organizaciones se enteren de las brechas y vulnerabilidades de sus sistemas no a través de sus propios programas de seguridad, sino a través de terceros. El hecho de que actualmente se dependa de personas ajenas para la detección es en sí mismo una admisión tácita de que las empresas no están haciendo todo lo que deben para entender cuándo y cómo su software falla. Lo que esto significa en la práctica es que todos los sistemas de software y todas las bases de datos necesitan el plan de supervisión y las métricas correspondientes para detectar posibles fallos. De hecho, este enfoque ya está ganando terreno en el mundo de la gestión de riesgos para los sistemas de IA. El Instituto Nacional de Estándares y Tecnología (NIST), por ejemplo, publicó su[Marco de gestión de riesgos de IA](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf) (AI RMF) a principios de este año, que recomienda explícitamente que las organizaciones mapeen los posibles daños, un sistema de IA pueda generar y desarrollar el plan correspondiente para medir y gestionar cada daño. (Divulgación completa: he recibido una subvención del NIST para apoyar el desarrollo de la RMF de IA.) Aplicar esta mejor práctica a los sistemas de software y bases de datos a gran escala es una forma directa de prepararse para los fracasos del mundo real. Sin embargo, esto no significa que los terceros no puedan desempeñar un papel importante en la detección de los incidentes. Todo lo contrario: los terceros tienen un papel importante que desempeñar en la detección de los fallos. Actividades como las «recompensas por errores», en las que se ofrecen recompensas a cambio de detectar riesgos, son una forma comprobada de[incentivar la detección de riesgos](https://blog.twitter.com/engineering/en_us/topics/insights/2021/algorithmic-bias-bounty-challenge), al igual que las formas claras de que los consumidores o usuarios comuniquen los fallos cuando se producen. Sin embargo, en general, los terceros no pueden seguir desempeñando la función principal en la detección de los fallos digitales. ### . . . ¿Las recomendaciones anteriores son suficientes? Seguro que no. Para que los programas de ciberseguridad sigan el ritmo de la creciente gama de riesgos que crean los sistemas de software, queda mucho más trabajo por hacer. Se necesitan más recursos, por ejemplo, en todas las etapas del ciclo de vida de los datos y el software, desde supervisar la integridad de los datos a lo largo del tiempo hasta garantizar que la seguridad no sea una idea tardía, pasando por procesos como DevSecOps, un método que integra la seguridad a lo largo del ciclo de vida del desarrollo, y más. A medida que crezca el uso de la IA, los programas de ciencia de datos también deberán invertir más recursos en la gestión de riesgos. Sin embargo, por ahora, los fallos son cada vez más una característica fundamental de todos los sistemas digitales, a medida que las empresas siguen aprendiendo por las malas. Los programas de ciberseguridad deben reconocer esta realidad en la práctica, si no simplemente porque de hecho ya es una realidad.