AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Las aseguradoras excluyen riesgos de IA mientras el sector busca marcos regulatorios efectivos**

admin

### 1. Introducción

La irrupción de la inteligencia artificial (IA) en el tejido empresarial está transformando los modelos operativos, desde la automatización de procesos hasta la toma de decisiones apoyada en machine learning. Sin embargo, al tiempo que las compañías integran IA a sus sistemas críticos, el sector asegurador adopta una postura cautelosa: muchas aseguradoras han comenzado a excluir explícitamente los riesgos asociados a tecnologías de IA en sus pólizas, mientras otras exploran fórmulas para crear marcos contractuales y regulatorios específicos. Este artículo analiza los motivos detrás de estas exclusiones, los riesgos gestionables y los desafíos emergentes para CISOs, analistas de amenazas y responsables de seguridad TI.

### 2. Contexto del Incidente o Vulnerabilidad

En los últimos dos años, los incidentes de ciberseguridad relacionados con IA han aumentado un 38% en Europa, según datos de ENISA. Los riesgos varían desde la manipulación de modelos de aprendizaje automático (ML) hasta sesgos algorítmicos o fugas de información sensible a través de grandes modelos de lenguaje (LLM) como ChatGPT. Por ejemplo, ataques de inferencia de membresía (MITRE ATT&CK Tactic: Reconnaissance, Technique T1595) pueden permitir a un atacante deducir si ciertos datos fueron parte del entrenamiento de un modelo.

Algunas aseguradoras han sufrido reclamaciones millonarias tras incidentes en los que sistemas de IA han cometido errores críticos, como la aprobación fraudulenta de transacciones o filtraciones de datos personales, generando incertidumbre sobre la cobertura de estos eventos bajo pólizas tradicionales.

### 3. Detalles Técnicos

Las exclusiones de riesgos IA en pólizas suelen centrarse en:

– **Manipulación de modelos (Model Poisoning, CVE-2023-35954):** Los atacantes inyectan datos maliciosos en el proceso de entrenamiento, alterando las predicciones del modelo.
– **Evasión de modelos (Adversarial Attacks):** Inputs cuidadosamente diseñados para engañar sistemas de clasificación basados en IA.
– **Fugas de información (Data Leakage):** LLMs como GPT-4 pueden, a través de prompts sofisticados, revelar información confidencial empleada durante el entrenamiento.
– **Riesgo de desinformación:** Uso de IA generativa para deepfakes o campañas de phishing automatizadas.

Las aseguradoras también consideran el riesgo de cumplimiento normativo, especialmente bajo GDPR y la inminente Directiva NIS2. Las multas por infracción de datos pueden superar los 20 millones de euros o el 4% de la facturación global.

Por su parte, algunos frameworks de pentesting, como Metasploit o Cobalt Strike, ya integran módulos para explotar vulnerabilidades en API de IA, incluyendo ataques adversariales y explotación de endpoints de inferencia.

### 4. Impacto y Riesgos

El impacto de un incidente de IA puede ser devastador, tanto a nivel económico como reputacional:

– **Fraude y errores en toma de decisiones:** IA mal entrenada puede aprobar operaciones fraudulentas o denegar servicios legítimos.
– **Pérdida de datos personales:** Los modelos pueden memorizar y filtrar información sensible.
– **Daños a terceros:** Decisiones automatizadas pueden generar daños colaterales, abriendo la puerta a litigios y reclamaciones.
– **Desinformación:** IA generativa puede amplificar campañas de ingeniería social a escala masiva.

Según Marsh McLennan, el 68% de las pólizas de ciberseguro revisadas en 2023 ya incluyen exclusiones explícitas para incidentes derivados de IA, lo que deja a las empresas desprotegidas ante estos vectores emergentes.

### 5. Medidas de Mitigación y Recomendaciones

Para gestionar riesgos asociados a IA, los expertos recomiendan:

– **Evaluaciones de amenazas específicas de IA:** Integrar pruebas de robustez de modelos y ejercicios de red teaming especializados en IA.
– **Monitorización continua de modelos:** Implementar soluciones de MLOps que identifiquen desviaciones, sesgos y posibles manipulaciones.
– **Hardening de APIs:** Limitar el acceso y validar inputs en endpoints de inferencia para evitar inyecciones y ataques adversariales.
– **Revisión contractual y legal:** Revisar pólizas de seguro para identificar exclusiones y negociar coberturas adaptadas a riesgos de IA.
– **Cumplimiento normativo:** Asegurar que los modelos cumplen GDPR, NIS2 y la futura AI Act europea, documentando los procesos de decisión automatizada.

### 6. Opinión de Expertos

Silvia Pérez, CISO de una multinacional financiera, señala: «Estamos viendo que las aseguradoras solo cubren riesgos de IA si demostramos controles avanzados, como validación de datasets, explainability y auditorías periódicas. Sin estas garantías, las exclusiones son la norma». Por otro lado, consultoras como Deloitte y KPMG advierten que la falta de consenso en estándares dificulta la creación de pólizas de seguro robustas y comparables.

### 7. Implicaciones para Empresas y Usuarios

La tendencia a excluir riesgos de IA obliga a las empresas a reforzar su gobernanza tecnológica y a invertir en ciberseguridad específica para IA. Los CISOs deben actualizar sus mapas de riesgos y adaptar los programas de concienciación a los nuevos desafíos de la IA generativa y el ML. Para los usuarios finales, esto puede traducirse en menos garantías ante daños, errores o filtraciones causadas por algoritmos.

### 8. Conclusiones

La exclusión de riesgos de IA por parte de aseguradoras refleja la creciente complejidad y ambigüedad en torno a la gestión de estos vectores. Ante la falta de marcos regulatorios y de control maduros, solo aquellas empresas capaces de demostrar una gestión avanzada de los riesgos de IA podrán aspirar a coberturas efectivas. La colaboración sectorial y el desarrollo de estándares serán clave para equilibrar innovación y seguridad en la era de la inteligencia artificial.

(Fuente: www.darkreading.com)