ChatGPT, una nueva forma de IA generativa de contenido, ha arrasado en todo el mundo. Se lanzó en noviembre de 2022 y en enero de 2023 tenía más de 100 millones de usuarios en todo el mundo. Es la aplicación de consumo de más rápido crecimiento en la relativamente corta historia de la era informática moderna.
Miembros del equipo de Comunicación de ¾ÅÉ«ÊÓƵhablaron recientemente con Zhenghong Pan sobre la IA y cómo podría afectar al ciberriesgo. A continuación, resumimos sus comentarios de forma clara y concreta. Aunque el siguiente texto trata de la IA generativa de contenido, este artículo lo escribieron y editaron personas reales.
Zhenghong Pan es Underwriting Manager de Líneas Financieras de ¾ÅÉ«ÊÓƵen Singapur. Con más de 10 años de experiencia en suscripción de Tecnología y Cibernética en Asia, es responsable de impulsar el crecimiento de la cartera de líneas financieras en Singapur.
¿Qué es la IA generativa y en qué se diferencian estas nuevas versiones de los modelos de IA anteriores?
La IA generativa es una nueva forma de inteligencia artificial que utiliza algoritmos para crear contenidos, como código, texto, audio e imágenes. El más famoso de ellos actualmente es ChatGPT; GPT significa “generative pre-trained transformer”.
Mientras que los sistemas tradicionales de IA estaban diseñados para reconocer patrones y hacer predicciones, ChatGPT es una forma de red neuronal que "aprende" el contexto sobre un patrón lingüístico, incluidos los lenguajes hablados y de programación informática.
Pongo "aprende" entre paréntesis porque, aunque el modelo desarrolla una comprensión de cómo se utilizan juntas distintas palabras o símbolos para crear un significado, eso no significa que "sepa" lo que está diciendo. En cambio, la IA generativa se ha comparado con un loro de Internet, en el sentido de que repite palabras o frases que, según las probabilidades, tienen más probabilidades de aparecer juntas en el habla natural. Esto le permite crear en segundos nuevos contenidos que, de otro modo, una persona tardaría horas o días en producir.
¿Cuáles son algunas de las formas en que las distintas industrias podrían utilizar la IA generativa?
Ha sido difícil pasar por alto el aluvión de información aparecida en los medios de comunicación en los últimos meses sobre las perturbaciones que la IA generativa podría desencadenar en toda la sociedad y prácticamente en todas las industrias. Algunos comentaristas predicen que estas tecnologías provocarán profundos cambios sociales, especialmente cuando los robots alcancen un nivel de "inteligencia" que supere las capacidades humanas. Por ahora, sin embargo, la mejor respuesta a la pregunta de cómo afectará la IA generativa a nuestras vidas es "nadie lo sabe realmente".
Dicho esto, puedo imaginar varias aplicaciones para estas herramientas dentro del sector comercial de P&C. Las más obvias incluyen la redacción de correos electrónicos y una mayor automatización del proceso de recopilación y análisis de los datos utilizados para suscribir distintos riesgos. La IA generativa también debería ayudar a las aseguradoras a procesar los siniestros con mayor rapidez y eficacia y a identificar patrones de siniestralidad para facilitar evaluaciones de riesgos más precisas. El Grupo AXA y ¾ÅÉ«ÊÓƵya han desarrollado directrices para utilizar herramientas de IA Generativa como ChatGPT con estos y otros fines, y estoy seguro de que se actualizarán y ampliarán a medida que se identifiquen nuevos usos.
Sin embargo, ChatGPT y sistemas similares están aún lejos de ser perfectos. Las pruebas iniciales sugieren que los mejores modelos producen información precisa alrededor del 50-70 por ciento de las veces. También ha habido muchas anécdotas de ChatGPT saliéndose por tangentes sin sentido o inventándose cosas, lo que los humanos llamaríamos “alucinar”. No obstante, estos fallos e imperfecciones serán sin duda menos frecuentes a medida que los modelos adquieran más experiencia, aunque la forma de la curva de fiabilidad a lo largo del tiempo también es difícil de predecir.
¿Cómo afectará el ChatGPT al ciberriesgo?
A pesar de las advertencias anteriores, no se puede ignorar la posibilidad de que ChatGPT u otros modelos generativos de IA agraven el ciberriesgo. En concreto, los hackers podrían pedir a un chatbot que escribiera el software necesario para lanzar y ejecutar ciberataques. Eso podría cambiar significativamente el panorama de las amenazas.
Un ejemplo: los ciberdelincuentes que ofrecen ransomware como servicio (RaaS). Estas bandas no atacan directamente a las organizaciones, sino que ofrecen a otras los nombres de entidades expuestas - empresas privadas, gobiernos, escuelas y universidades, etc - que pueden atacar. También proporcionan software para ejecutar ataques de ransomware y un manual de usuario. Los "vendedores" de RaaS cobran una licencia o se llevan una parte de lo que ingresan sus "clientes".
Antes, desarrollar una operación RaaS productiva y rentable requería capacidades de ingeniería de software bastante sofisticadas. Sin embargo, con la IA generativa, pedir a un chatbot que cree el software necesario para lanzar un ataque de phishing, malware o denegación de servicio podría ser mucho más sencillo y producir mejores resultados que desarrollar ese código por uno mismo.
Del mismo modo, la IA generativa podría hacer más accesible la piratería informática a los aficionados que antes carecían de las habilidades necesarias para traspasar las barreras de seguridad cada vez más sofisticadas de las organizaciones. Así, podríamos ver cada vez más "script kiddies", que es el término común, aunque tonto, que se aplica a los individuos no cualificados que utilizan scripts o programas desarrollados por otros con fines maliciosos. En el pasado, habrían accedido a la web oscura en busca de estos scripts. Ahora, podrían utilizar un chatbot para que escribiera el software por ellos.
¿No existen restricciones al uso de IA generativa con fines ilegales?
Aunque ChatGPT y otros sistemas tienen esos límites, los hackers han descubierto cómo sortearlos. Además, cuando una destacada publicación tecnológica preguntó a ChatGPT sobre su uso para crear malware, el programa respondió que "los actores de amenazas pueden utilizar la inteligencia artificial y el aprendizaje automático para llevar a cabo sus actividades maliciosas", pero el desarrollador "no se hace responsable de ningún abuso de su tecnología por parte de terceros".
Además, aunque los reguladores gubernamentales y otros están examinando de cerca la necesidad de poner barandillas en torno a la IA generativa, una de las duras lecciones que hemos aprendido en los últimos años es que los hackers acabarán encontrando lagunas o soluciones provisionales.
¿Hasta qué punto son eficaces los sistemas de ciberseguridad existentes para detectar y prevenir los ataques creados por chatbots?
Los expertos en ciberseguridad informan de que el código elaborado por ChatGPT podría, como dice uno de ellos, "eludir fácilmente los productos de seguridad" debido a la aparente capacidad del chatbot para crear lo que se conoce como virus polimórficos o metamórficos. Se trata de un tipo de malware que está programado para mutar su apariencia o archivos de firma mediante nuevas rutinas de descifrado. Esto, a su vez, significa que muchas soluciones antivirus o antimalware actuales que se basan en la detección por firmas no podrán reconocer y bloquear el ataque.
Al mismo tiempo, los proveedores de ciberseguridad no se quedan de brazos cruzados. Ellos también están aprovechando estas nuevas herramientas.
Por ejemplo, muchas empresas utilizan herramientas de detección y respuesta en el punto final, o EDR. Ese software se instala en un punto final -por ejemplo, el puesto de trabajo de un empleado- y registra la información. Todo lo que se hace en ese ordenador se envía a un centro de operaciones de seguridad que supervisa los registros y utiliza software automatizado para buscar anomalías o comportamientos sospechosos.
Ahora está apareciendo una nueva ola de software denominada XDR. Se trata del siguiente nivel de detección y respuesta de punto final que aprovecha la IA para detectar automáticamente comportamientos anómalos o señales de aspecto peligroso.
Como resultado, parece probable que la IA generativa intensifique la actual carrera armamentística entre los hackers que intentan infiltrarse en los sistemas informáticos de las organizaciones y los profesionales de la ciberseguridad que intentan mantenerlos fuera. En otras palabras, las batallas entre los buenos y los malos podrían volverse aún más intensas y complejas.
¿Qué sugerencias tienes para las empresas que se enfrentan a estas nuevas amenazas?
Aunque todavía hay muchas incertidumbres, no creo que la aparición de ChatGPT exija respuestas diferentes. Al contrario, refuerza la importancia del triple enfoque recomendado por los profesionales de la ciberseguridad: prevención, respuesta y mitigación.
En cuanto a la prevención, las empresas deben asegurarse de que sus sistemas y protocolos de ciberseguridad incluyen las herramientas y procesos más recientes y sólidos para bloquear los ciberataques. Al fin y al cabo, los ciberdelincuentes suelen buscar objetivos menos defendidos, donde el nivel de esfuerzo necesario para tener éxito no sea tan grande.
Las empresas también deben disponer de mecanismos para limitar el alcance de un ataque y restaurar rápidamente los datos y sistemas afectados. ¾ÅÉ«ÊÓƵcolabora con los principales proveedores de respuesta ante violaciones y mantiene una línea de atención telefónica 24 horas al día, 7 días a la semana, para ayudar a las organizaciones a superar estas delicadas situaciones. Nuestras coberturas cibernéticas también incluyen el acceso a empresas especializadas en incidentes cibernéticos, incluyendo análisis forenses informáticos, cuestiones legales, relaciones públicas y control de crédito e identidad.
Por último, ¾ÅÉ«ÊÓƵayuda a clientes de diversos segmentos industriales a estructurar pólizas de seguro diseñadas para mitigar las pérdidas financieras derivadas de los ciberataques.
