AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Expertos de INCIBE-UPV e ITI reclaman una legislación de ciberseguridad más clara y adaptada a la IA**

admin

### Introducción

La evolución vertiginosa de la inteligencia artificial (IA) plantea nuevos retos en el ámbito de la ciberseguridad y la protección de los derechos fundamentales. Durante una jornada organizada por la Cátedra de Ciberseguridad INCIBE-UPV, destacados especialistas del Instituto Nacional de Ciberseguridad (INCIBE), la Universitat Politècnica de València (UPV) y el Instituto Tecnológico de Informática (ITI) pusieron de manifiesto la urgencia de contar con marcos legislativos claros, adaptados y simplificados que respondan a los riesgos emergentes derivados del uso generalizado de la IA en entornos corporativos y sociales.

### Contexto del Incidente o Vulnerabilidad

El debate cobra especial relevancia en el actual contexto regulatorio europeo, marcado por la reciente aprobación del Reglamento de Inteligencia Artificial (AI Act) y la próxima entrada en vigor de la Directiva NIS2, que refuerza los requisitos de ciberseguridad para operadores de servicios esenciales y proveedores digitales. Sin embargo, los expertos advierten que la proliferación de normativas, sumada a la complejidad técnica de la IA, puede generar incertidumbre e inseguridad jurídica tanto para empresas como para los responsables de la protección de infraestructuras críticas.

En la jornada, los representantes de INCIBE-UPV e ITI subrayaron que la regulación debe garantizar la seguridad como valor estratégico de las organizaciones, sin menoscabar la innovación ni los derechos de los ciudadanos. El desafío radica en encontrar el equilibrio entre la protección frente a ciberamenazas avanzadas y la promoción de un entorno digital competitivo y ético.

### Detalles Técnicos

El uso extensivo de IA en entornos corporativos introduce nuevos vectores de ataque y superficies de exposición. Los algoritmos de machine learning y deep learning pueden ser vulnerables a técnicas de ataque específicas, como data poisoning, model inversion, adversarial examples y extracción de modelos (model stealing). Estas amenazas ya están catalogadas en matrices como MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems), que extiende el enfoque de MITRE ATT&CK hacia escenarios de IA.

Entre los riesgos técnicos identificados, destacan:

– **Data Poisoning (TA0040 – MITRE ATLAS):** Manipulación maliciosa de datos de entrenamiento, provocando que los modelos de IA generen resultados erróneos.
– **Model Inversion (T1606.001 – ATT&CK):** Ataques que permiten inferir información sensible a partir de los modelos IA ya entrenados.
– **Adversarial Examples:** Introducción de pequeñas perturbaciones en los datos de entrada para engañar a los sistemas de IA.
– **Supply Chain Attacks:** Compromiso de bibliotecas o frameworks de IA (TensorFlow, PyTorch) mediante la inyección de código malicioso o dependencias comprometidas.

Existen exploits públicos para algunas de estas vulnerabilidades, y herramientas como Metasploit han comenzado a incorporar módulos de prueba para entornos de IA, aunque el arsenal ofensivo específico aún está en fase inicial. Se estima que en los próximos años, el 40% de los incidentes graves de ciberseguridad en Europa tendrán algún componente relacionado con IA, según datos de ENISA.

### Impacto y Riesgos

El impacto de una IA comprometida puede ir más allá de la filtración de datos o la interrupción de servicios. Un modelo afectado podría tomar decisiones sesgadas, manipular resultados financieros, o facilitar acciones automatizadas de ingeniería social a gran escala. Además, los entornos regulados por GDPR o la futura AI Act están expuestos a sanciones económicas significativas: en el caso del GDPR, hasta el 4% de la facturación anual global, y bajo la AI Act, multas que pueden alcanzar los 30 millones de euros o el 6% del volumen de negocio.

La falta de claridad regulatoria puede ralentizar la adopción de IA y exponer a las empresas a riesgos de cumplimiento, especialmente en sectores críticos como banca, salud, energía y administración pública.

### Medidas de Mitigación y Recomendaciones

Los expertos recomiendan una aproximación proactiva basada en:

– **Evaluaciones de Riesgo Específicas para IA:** Integrar controles técnicos y legales en el ciclo de vida de los modelos.
– **Implementación de prácticas DevSecOps adaptadas a IA:** Uso de escáneres de vulnerabilidades en pipelines de datos y código.
– **Monitoreo continuo de modelos en producción:** Mediante soluciones de MLOps y detección de desviaciones en el comportamiento.
– **Cumplimiento de estándares europeos:** Alinear las políticas internas con NIS2, GDPR y AI Act, estableciendo un inventario claro de activos IA y procedimientos de respuesta a incidentes.
– **Formación especializada del personal técnico y jurídico:** Para reducir la brecha de entendimiento entre reguladores, desarrolladores y responsables de cumplimiento.

### Opinión de Expertos

Durante la jornada, portavoces de INCIBE-UPV e ITI coincidieron en la necesidad de simplificar la legislación, evitando solapamientos y redundancias. Se abogó por esquemas de certificación claros, basados en la gestión de riesgos y en la transparencia algorítmica, y por la creación de foros permanentes de colaboración entre reguladores, industria y comunidad investigadora. “La seguridad debe ser un facilitador de la innovación, no un freno”, apuntó un responsable de ITI.

### Implicaciones para Empresas y Usuarios

Las organizaciones que no adapten sus estrategias de ciberseguridad a la realidad de la IA pueden quedar fuera de los mercados europeos o enfrentarse a litigios y sanciones. La tendencia hacia la digitalización total y la automatización inteligente exige a los CISOs y responsables de cumplimiento una actualización constante de sus marcos de control y la integración de la gobernanza de IA en sus políticas de seguridad.

Para los usuarios, la garantía de derechos fundamentales, como la privacidad y la no discriminación, dependerá de la capacidad de las empresas para auditar y demostrar la robustez y equidad de sus sistemas de IA.

### Conclusiones

La convergencia entre IA y ciberseguridad requiere un marco regulatorio claro, pragmático y orientado al riesgo. La simplificación normativa, la actualización constante de los controles técnicos y la colaboración público-privada serán imprescindibles para proteger tanto los intereses empresariales como los derechos ciudadanos en la nueva era digital.

(Fuente: www.cybersecuritynews.es)