Generar confianza en la IA: cómo las nuevas regulaciones buscan afrontar los desafíos de ciberseguridad
El mes pasado, el gobierno del Reino Unido introdujo nuevos avances regulatorios para mejorar la ciberseguridad en los modelos de IA y el software. Diseñadas para fortalecer los sistemas digitales contra ataques y sabotajes, estas son medidas orientadas a fomentar la confianza en el uso de la IA en diversas industrias; confianza que, sin duda, es muy necesaria.
Dado que el costo de la ciberdelincuencia ya se proyecta en 13,82 billones de dólares para 2028, y podría crecer aún más rápido a medida que las nuevas generaciones de ciberdelincuentes tengan acceso a una IA cada vez más sofisticada, la confianza en la tecnología está comenzando a debilitarse de manera comprensible.
Aunque estas nuevas medidas representan un avance significativo en la resolución de los desafíos actuales de ciberseguridad, siguen existiendo dudas y preocupaciones sobre la adaptabilidad futura y la eficacia de los marcos regulatorios, especialmente entre la comunidad de desarrolladores.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
En una encuesta reciente entre desarrolladores tanto del Reino Unido como de Estados Unidos, un total del 72% afirmó que las regulaciones diseñadas para proteger la privacidad no están preparadas para el futuro, y un 56% cree que las estructuras regulatorias dinámicas —que deberían ser adaptables al avance tecnológico— podrían suponer una amenaza real. Un aspecto especialmente preocupante es el riesgo de seguridad asociado a los sistemas de IA que requieren grandes conjuntos de datos para su entrenamiento, los cuales a menudo incluyen información personal sensible.
En este contexto, las regulaciones cambiantes o inconsistentes podrían crear vulnerabilidades o brechas en la protección de esta información sensible, incrementando el riesgo de filtraciones o uso indebido de datos.
A medida que las regulaciones evolucionan, garantizar la seguridad y privacidad de la información personal utilizada en el entrenamiento de IA parece que será cada vez más difícil, lo que podría generar graves consecuencias tanto para individuos como para organizaciones.
La misma encuesta reveló que el 30% de los desarrolladores considera que existe una falta general de comprensión entre los reguladores, quienes no cuentan con las habilidades adecuadas para entender la tecnología que deben regular.
Cómo diseñar marcos regulatorios adaptables y eficaces
Con la formación y el conocimiento en tela de juicio, junto con el avance acelerado de la IA y las amenazas de ciberseguridad, ¿qué deberían tener en cuenta exactamente los reguladores al crear marcos regulatorios que sean tanto adaptables como eficaces?
En mi opinión, lo primero que deberían conocer los reguladores son todas las opciones disponibles en cuanto a posibles Tecnologías de Mejora de la Privacidad (PETs). Mientras que algunas PETs ya se utilizan para minimizar el riesgo de filtraciones de datos, otras están evolucionando a medida que escribo esto, con un inmenso potencial en términos de garantizar la seguridad de datos sensibles y proteger la privacidad. Conocer las ventajas y limitaciones de cada una ayuda a adoptar un enfoque flexible en su implementación en lugar de tratar de crear una sola política para cubrirlo todo a la vez, por ejemplo:
- Tecnologías de autenticación: La autenticación multifactor (MFA), comúnmente integrada por los desarrolladores en los sistemas de autenticación para añadir una capa adicional de seguridad, se utiliza en aplicaciones que van desde la banca en línea hasta el software empresarial. La autenticación biométrica es otro método avanzado y seguro también en uso hoy en día, que utiliza rasgos físicos únicos como huellas dactilares o el reconocimiento facial. Además, mirando al futuro, la adopción de mecanismos de identidad federada, como FIDO (Fast Identity Online) u OpenID Connect, ofrece potencial. Estos mecanismos no solo mejoran la seguridad, sino que también agilizan los procesos de autenticación de usuarios en diferentes plataformas, proporcionando una gestión de identidad unificada y segura.
- Encriptación de extremo a extremo (E2EE): Esta tecnología proporciona una sólida seguridad al garantizar que los datos estén cifrados desde el remitente hasta el destinatario, impidiendo el acceso no autorizado incluso por parte de los proveedores de servicios. Sin embargo, implementar E2EE puede ser complejo y requerir muchos recursos, con costes computacionales importantes y una gestión de claves sofisticada. Como la E2EE impide a los proveedores acceder a los datos, también puede dificultar la ayuda ante la recuperación de datos o el cumplimiento de solicitudes legales de información; una situación problemática en investigaciones criminales o recuperaciones de datos.
- Encriptación completamente homomórfica (FHE): Aunque la FHE sigue considerándose en sus primeras etapas de desarrollo, ha avanzado mucho en los últimos años. Se trata de una tecnología de cifrado que permite procesar datos sin necesidad de descifrarlos, lo que representa una combinación perfecta entre IA y seguridad de datos, ya que permite a las organizaciones aprovechar la potencia de la tecnología sin que se comprometan las expectativas de privacidad de los usuarios. Por ejemplo, la FHE puede ser utilizada por instituciones financieras para entrenar modelos de IA para la detección de fraude de forma confidencial entre varios bancos sin exponer ningún dato personal; también los proveedores de salud pueden realizar diagnósticos predictivos sin revelar la información privada de sus pacientes.
- Computación Multipartita (MPC): Esta tecnología complementa la FHE al proporcionar al usuario final la capacidad de descifrar datos cifrados tras comprobar que tiene derecho a acceder a dichos datos. MPC permite que un quórum de entidades designadas participe en un protocolo colaborativo que llegue a un consenso sobre el control de acceso antes de volver a cifrar los datos de la clave pública de cifrado del protocolo a la clave pública de cifrado del usuario final, concediendo así al usuario final acceso a los datos en claro. Cada entidad del quórum sólo posee una parte de la clave privada de descifrado del protocolo, por lo que no puede descifrar ningún dato por sí sola. Además, los datos sin cifrar nunca están disponibles para nadie más que para el propio usuario final.
Elaboración Colaborativa de Políticas
Cuando los reguladores tengan un buen (y actualizado) conocimiento de las PETs —de las cuales existen muchas más— el siguiente paso será que los responsables de políticas se aseguren de que la regulación no frena el avance tecnológico y al mismo tiempo protege contra las amenazas cibernéticas.
Para diseñar políticas de privacidad matizadas y eficaces que evolucionen junto a los avances tecnológicos, es fundamental recordar que no operan en el vacío. No se espera que sean los únicos responsables de esto. En cambio, los responsables de políticas deben trabajar junto con los creadores de la tecnología —quienes, a su vez, deberían comenzar a diseñar sus tecnologías pensando en los marcos normativos existentes, en lugar de esperar que los nuevos marcos se adapten a ellos.
También es crucial incorporar el aprendizaje continuo en la organización, así como permitir que los empleados participen en eventos y conferencias del sector para estar al día de los últimos desarrollos y poder reunirse con expertos. Cuando sea posible, deberíamos colaborar con la industria, por ejemplo, invitando a representantes de empresas tecnológicas a impartir seminarios o demostraciones internas.
Creo firmemente que todo lo anterior debe tenerse en cuenta a medida que integramos sistemas cada vez más complejos como IA, IoT y análisis avanzados de datos en nuestra vida cotidiana y aumenta el potencial de ciberamenazas.
Preparando la regulación para el futuro, podemos garantizar que no estemos siempre a la zaga de los ciberdelincuentes, sino que protejamos proactivamente nuestra infraestructura digital. Adoptando un marco regulatorio dinámico y adaptable, podremos proteger mejor los datos sensibles, salvaguardar la privacidad de los usuarios y mantener la confianza pública en las tecnologías digitales.
Suscríbete a nuestro boletín para recibir las últimas ideas, tendencias y estrategias para proteger tu tecnología e impulsar la innovación.
