AI and machine learning

Los errores humanos provocan la mayoría de los ciberincidentes. ¿Podría ayudar la IA?

Astraed

6 min read

Aunque los hackers sofisticados y los ciberataques impulsados por la IA suelen ocupar los titulares, una cosa está clara: la mayor amenaza de ciberseguridad es el error humano, que representa más del 80% de los incidentes. Esto a pesar del aumento exponencial de la ciberformación organizacional en la última década y del aumento de la conciencia y la mitigación de los riesgos en las empresas e industrias. ¿Podría la IA ir al rescate? Es decir, ¿podría la inteligencia artificial ser la herramienta que ayude a las empresas a controlar la negligencia humana? En este artículo, el autor explica las ventajas y desventajas de confiar en la inteligencia de las máquinas para reducir el riesgo del comportamiento humano.

••• Se espera que el impacto de la ciberdelincuencia llegue[10 billones de dólares](https://www.statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/) este año, superando el PIB de todos los países del mundo excepto EE. UU. y China. Además, se estima que la cifra aumentará hasta casi 24 billones de dólares en los próximos cuatro años. Aunque los piratas informáticos sofisticados y los ciberataques impulsados por la IA tienden a acaparar los titulares, una cosa está clara: la mayor amenaza es el error humano, que tiene en cuenta[más del 80%](https://blog.knowbe4.com/88-percent-of-data-breaches-are-caused-by-human-error) de incidentes. Esto, a pesar del aumento exponencial de la ciberformación organizacional a lo largo del[última década](https://venturebeat.com/security/report-53-spike-in-hours-spent-on-cybersecurity-training-among-employees/) y aumentar la conciencia y la mitigación de los riesgos en las empresas e industrias. ¿Podría la IA ir al rescate? Es decir, ¿podría la inteligencia artificial ser la herramienta que ayude a las empresas a controlar la negligencia humana? Y si es así, ¿cuáles son las ventajas y desventajas de confiar en la inteligencia de las máquinas para reducir el riesgo del comportamiento humano? Como era de esperar, actualmente hay un gran interés en[Ciberseguridad impulsada por la IA](https://link.springer.com/article/10.1007/s42979-021-00557-0), con [estimaciones que sugieren](https://www.marketsandmarkets.com/Market-Reports/ai-in-cybersecurity-market-224437074.html) que el mercado de herramientas de ciberseguridad de IA crecerá de solo 4 000 millones de dólares en 2017 a casi 35 000 millones de dólares con un patrimonio neto en 2025. Estas herramientas suelen incluir el uso de[aprendizaje automático](https://www.science.org/doi/abs/10.1126/science.aaa8415), [aprendizaje profundo](https://www.nature.com/articles/nature14539), y [procesamiento del lenguaje natural](https://www.science.org/doi/abs/10.1126/science.aaa8685) para reducir las actividades maliciosas y detectar ciberanomalías, fraudes o intrusiones. La mayoría de estas herramientas se centran en exponer los cambios en los patrones de los datos[ecosistemas](https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/tech-forward/data-ecosystems-made-simple), como los activos empresariales en la nube, la plataforma y el almacén de datos, con un nivel de sensibilidad y granularidad que normalmente pasa desapercibido para los observadores humanos. Por ejemplo, los algoritmos de aprendizaje automático supervisados pueden clasificar los ataques de correo electrónico malignos con[98% de precisión](https://www.mdpi.com/2073-8994/12/5/754), detectar funciones «parecidas» en función de la clasificación o la codificación humanas, mientras que el aprendizaje profundo reconoce la intrusión en la red [Precisión del 99,9%](https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=8643036). En cuanto al procesamiento del lenguaje natural, ha demostrado altos niveles de fiabilidad y precisión a la hora de detectar la actividad de suplantación de identidad y el malware mediante [extracción de palabras clave](https://users.dcc.uchile.cl/~ahevia/publications/lhhwr-isi10.pdf) en dominios y mensajes de correo electrónico en los que la intuición humana generalmente falla. Sin embargo, como han señalado los estudiosos, confiar en la IA para proteger a las empresas de los ciberataques es un»[espada de doble filo](https://www.nature.com/articles/s42256-019-0109-1).». En particular, [investigaciones muestran](https://arxiv.org/abs/1804.00308) que el simple hecho de inyectar un 8% de datos de entrenamiento «venenosos» o erróneos puede reducir la precisión de la IA en un enorme 75%, lo que no es muy diferente a la forma en que los usuarios corrompen las interfaces de usuario conversacionales o[idioma grande](https://www.documentjournal.com/2023/02/bing-gpt-powered-ai-chatbot-sydney-lobotomized-by-microsoft-after-going-off-the-rails/) modela por inyección[sexista](https://www.reuters.com/article/us-amazon-com-jobs-automation-insight-idUSKCN1MK08G) preferencias o[racista](https://www.theverge.com/2016/3/24/11297050/tay-microsoft-chatbot-racist) idioma en los datos de entrenamiento. Como suele decir ChatGPT, «como modelo lingüístico, soy tan preciso como la información que obtengo», lo que crea un juego perenne del gato y el ratón en el que la IA debe desaprender tan rápido y con la misma frecuencia que aprende. De hecho, la fiabilidad y precisión de la IA para prevenir ataques pasados suelen ser un indicador débil de ataques futuros. Además, confíe en la IA[tiende a resultar](https://core.ac.uk/download/pdf/1640472.pdf) en las personas que delegan tareas no deseadas en la IA sin comprensión ni supervisión, especialmente cuando la IA no es explicable (lo que, paradójicamente, suele coexistir con el más alto nivel de precisión). _Acabado_-la confianza en la IA es [bien documentado](https://www.sciencedirect.com/science/article/pii/S0747563221003411), especialmente cuando las personas tienen poco tiempo y, a menudo, lleva a una difusión de la responsabilidad en los seres humanos, lo que aumenta su comportamiento descuidado e imprudente. Como resultado, en lugar de mejorar la tan necesaria colaboración entre la inteligencia humana y la de las máquinas, la consecuencia no deseada es que esta última acaba diluyendo la primera. Como digo en mi último libro,[_Yo, el humano: la IA, la automatización y la búsqueda de recuperar lo que nos hace únicos_](https://www.amazon.com/Human-Automation-Quest-Reclaim-Unique-ebook/dp/B099KQV3ZJ)_,_ parece haber una tendencia general en la que los avances de la IA son bienvenidos como excusa para nuestro propio estancamiento intelectual. La ciberseguridad no es la excepción, en el sentido de que nos complace dar la bienvenida a los avances de la tecnología para protegernos de nuestro propio comportamiento negligente o imprudente y estar «libres de culpa», ya que podemos transferir la culpa de un error humano a un error de la IA. Sin duda, este no es un resultado feliz para las empresas, por lo que la necesidad de educar, alertar, formar y gestionar el comportamiento humano sigue siendo tan importante como siempre, si no más. Es importante destacar que las organizaciones deben seguir esforzándose por aumentar[concientización de los empleados](https://www.researchgate.net/profile/Shailendra-Mishra-5/publication/354879445_Impact_of_Human_Vulnerabilities_on_Cybersecurity/links/62849ec22ecfa61d330aa07c/Impact-of-Human-Vulnerabilities-on-Cybersecurity.pdf) del panorama de riesgos en constante cambio, que no hará más que crecer en complejidad e incertidumbre debido a la creciente adopción y penetración de la IA, tanto en el lado de ataque como en el defensivo. Si bien puede que nunca sea posible extinguir por completo los riesgos o eliminar las amenazas, el aspecto más importante de la confianza no es si confiamos en la IA o en los humanos, sino si confiamos en una empresa, marca o plataforma antes que en otra. Esto no requiere un _lo uno o lo otro_ elegir entre confiar en la inteligencia humana o artificial para mantener las empresas a salvo de los ataques, pero en una cultura que consiga aprovechar tanto las innovaciones tecnológicas como la experiencia humana con la esperanza de ser menos vulnerable que otras. En última instancia, se trata de una cuestión de liderazgo: tener no solo lo correcto[experiencia o competencia técnica](https://www.researchgate.net/profile/Richard-Klimoski/publication/325347163_Critical_Success_Factors_for_Cyber_Security_Leaders_Not_Just_Technical_Competence/links/5b0716d4aca2725783deaa2f/Critical-Success-Factors-for-Cyber-Security-Leaders-Not-Just-Technical-Competence.pdf?_sg%5B0%5D=started_experiment_milestone&origin=journalDetail&_rtd=e30%3D), sino también el perfil de seguridad adecuado en la cúspide de la organización, y particularmente en [tablas](https://www.mckinsey.com/capabilities/strategy-and-corporate-finance/our-insights/boards-and-cybersecurity). Como han hecho los estudios [mostrado durante décadas](https://psycnet.apa.org/doiLanding?doi=10.1037%2Fa0016172), las organizaciones dirigidas por líderes concienzudos, conscientes de los riesgos y éticos tienen muchas más probabilidades de ofrecer una cultura y un clima de seguridad a sus empleados, en los que los riesgos sigan siendo posibles, pero menos probables. Sin duda, se puede esperar que esas empresas aprovechen la IA para mantener sus organizaciones seguras, pero es su capacidad también para educar a los trabajadores y mejorar _hábitos humanos_ eso los hará menos vulnerables a los ataques y a la negligencia. Como Samuel Johnson, con razón[señaló](https://www.goodreads.com/quotes/56997-the-chains-of-habit-are-too-weak-to-be-felt), mucho antes de que la ciberseguridad se convirtiera en una preocupación, «las cadenas del hábito son demasiado débiles para sentirlas hasta que son demasiado fuertes para romperlas».

Read more