Las amenazas de la IA a la seguridad empresarial. ¿Qué tan preparadas están las compañías?

Cuatro de cada diez empresas han incorporado la Inteligencia Artificial (IA) y el Internet de las Cosas (IoT) en las estructuras de sus negocios, según una investigación reciente de Kaspersky. Además, cuatro de cada diez tienen previsto adoptar estas tecnologías en los próximos dos años. Este panorama evidencia que el sector corporativo le apuesta a incrementar su productividad y competitividad apalancado en la tecnología. Sin embargo, para alcanzar esos objetivos existe una urgente necesidad de implementar mecanismos de protección de activos críticos como los datos y la información.

De acuerdo con registros de la Cámara Colombiana de Informática y Telecomunicaciones, en el país se comete un ciberdelito cada ocho minutos, y no hay empresa que esté a salvo, tal y como se evidenció en 2023, cuando un ciberataque masivo a más de 20 entidades públicas y 78 privadas provocó pérdidas y daños irreparables en algunos casos.

Diego Andrés Zuluaga, especialista en ciberseguridad y auditor certificado de las normas ISO 27001 e ISO 22301, afirmó que las empresas deben entender la naturaleza de estas nuevas tecnologías. “Por ejemplo, aunque el IoT es muy popular y económico, cuenta con un procesador similar a un computador, el cual es susceptible a ataques. Una muestra del impacto que puede tener es lo sucedido en un casino de Las Vegas hace unos años, cuando se presentó un robo a través del termostato de la pecera”.

Según Zuluaga, el IoT raramente es desarrollado por una sola compañía, por el contrario, en estos dispositivos se integran tecnologías de muchos fabricantes y proveedores, por lo que las organizaciones deben analizar las vulnerabilidades de toda la cadena de suministro, incluyendo los subcontratistas que hacen las tarjetas, el software para móvil y para la nube, y así sucesivamente. “Las empresas deben entender quién es su proveedor y fabricante, y si consideró la seguridad y suministró todos los parches y actualizaciones de seguridad necesarias durante su vida útil, o si solo se encargó de la integración y la compañía debe estar atenta a las actualizaciones desde cada proveedor”, explicó Zuluaga.

Por su parte, Fabio Assolini, director del equipo de Investigación y Análisis para América Latina en Kaspersky, aseguró que uno de los riesgos a los que se exponen las empresas con la implementación de IA son los fraudes financieros. Los delincuentes se valen de herramientas basadas en esta tecnología para crear ataques de deep voice y deep fake para suplantar las identidades de sus directivos.

“Manipulan los audios de extractos de videos de los directivos que están publicados en medios como YouTube o crean videos ficticios para cometer sus ciberdelitos”, agregó Assolini. Esto obliga a las empresas a entrenar a sus equipos de ciberseguridad para poder identificar las amenazas, además de establecer mecanismos de verificación de la información en dos o más pasos para confirmar las identidades de las personas y reconocer si hay o no una estafa. Su recomendación final es mantener actualizadas las soluciones de ciberseguridad con herramientas modernas que tienen la capacidad de detectar el uso de tecnologías de IA en temas como correos maliciosos y brindan una protección más avanzada.