AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Atacantes pueden comprometer modelos de visión por IA mediante alteraciones imperceptibles en imágenes

admin

#### Introducción

El avance de la inteligencia artificial en el ámbito de la visión artificial ha propiciado la integración de modelos de lenguaje-visual (VLM, por sus siglas en inglés) en aplicaciones empresariales, industriales y de consumo. Sin embargo, recientes investigaciones de Cisco Talos AI Security Research han puesto de manifiesto una preocupante debilidad en estos sistemas: la posibilidad de manipular sus predicciones mediante modificaciones mínimas e imperceptibles en los píxeles de las imágenes de entrada. Este artículo analiza en profundidad el incidente, las técnicas empleadas, los riesgos asociados y las mejores prácticas recomendadas para mitigar este tipo de amenazas en entornos críticos.

#### Contexto del Incidente o Vulnerabilidad

Los modelos de visión-lenguaje, como CLIP de OpenAI y otros basados en arquitecturas transformer, han revolucionado la interpretación automatizada de imágenes y texto. Estos sistemas son capaces de correlacionar imágenes con descripciones textuales, permitiendo usos como la búsqueda semántica, la moderación de contenidos o la asistencia en procesos industriales automatizados. Sin embargo, su creciente adopción en aplicaciones sensibles –incluyendo vigilancia, autenticación biométrica, revisión de contenidos y análisis forense– les convierte en un objetivo prioritario para atacantes.

Cisco Talos ha investigado la superficie de ataque de los VLMs y ha demostrado que incluso alteraciones diminutas en el nivel de píxeles –inapreciables para el ojo humano– pueden desviar completamente la interpretación del modelo. Este tipo de ataques, conocidos como “adversarial examples”, ya eran bien conocidos en el ámbito de la visión artificial tradicional, pero su impacto en arquitecturas multimodales (imagen-texto) no había sido suficientemente analizado hasta ahora.

#### Detalles Técnicos

Los investigadores de Cisco Talos han evaluado diversos VLMs de última generación, identificando la vulnerabilidad a ataques de perturbación adversaria mediante técnicas como Fast Gradient Sign Method (FGSM), Projected Gradient Descent (PGD) y variantes de ataques de caja blanca y negra. Los ataques pueden ser diseñados tanto para sistemas entrenados localmente como para APIs comerciales en la nube.

– **CVE**: Aunque aún no existe un identificador CVE específico para este tipo de ataques en VLMs, sí han sido catalogados bajo categorías generales de “Adversarial Machine Learning”.
– **Vectores de ataque**: El atacante introduce imágenes manipuladas en plataformas que dependen de VLMs para tareas como clasificación, etiquetado o moderación. Las alteraciones en los píxeles pueden producir desde la omisión de una amenaza en una cámara de seguridad hasta la identificación errónea de personas o contenidos ilegales.
– **TTP MITRE ATT&CK**: Encajan en la táctica “Impair Defenses” (T1562) y en técnicas específicas de “Data Manipulation” (T1565).
– **Indicadores de compromiso (IoC)**: Es complejo identificarlos a priori, ya que las imágenes manipuladas apenas difieren de sus originales en el espacio RGB. No obstante, análisis estadísticos avanzados o herramientas de detección de ruido adversario pueden ayudar a identificarlas.
– **Exploits conocidos**: Herramientas como Foolbox, CleverHans y plugins de Metasploit para ataques adversarios pueden ser empleadas en entornos de prueba.

#### Impacto y Riesgos

El impacto de estos ataques es significativo: una imagen alterada puede hacer que un sistema de vigilancia ignore la presencia de un intruso, que un sistema de moderación no detecte contenido prohibido o que procesos industriales automatizados funcionen bajo premisas erróneas. Según estimaciones de Cisco, hasta el 80% de los VLMs analizados fueron vulnerables a alguna variante de ataque, con tasas de éxito superiores al 90% en ciertos escenarios de caja blanca.

Desde el punto de vista normativo, un fallo de este tipo podría conllevar graves consecuencias en materia de protección de datos (GDPR), ciberseguridad industrial (NIS2) o incluso responsabilidad civil si el ataque deriva en daños económicos o personales.

#### Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, los expertos recomiendan:

– **Entrenamiento adversarial**: Incluir ejemplos adversarios durante el entrenamiento del modelo para aumentar su robustez.
– **Monitorización activa**: Implementar sistemas de detección de anomalías en los datos de entrada para identificar posibles manipulaciones.
– **Auditorías periódicas**: Evaluar la resistencia de los modelos desplegados mediante pruebas de penetración y análisis red team específicos para IA.
– **Límites de confianza**: Configurar umbrales de confianza mínima para la toma de decisiones automáticas.
– **Actualizaciones y parches**: Mantener los frameworks de IA (TensorFlow, PyTorch, etc.) actualizados con los últimos parches de seguridad.
– **Segregación de responsabilidades**: No delegar la toma de decisiones críticas exclusivamente a los VLMs sin supervisión humana.

#### Opinión de Expertos

José Luis Verdeguer, consultor senior en ciberseguridad IA en S21sec, alerta: “La sofisticación de estos ataques adversarios demuestra que la seguridad en IA no puede limitarse al perímetro tradicional. Es fundamental incorporar evaluaciones de robustez y análisis de amenazas en todo el ciclo de vida de los modelos.” Por su parte, Marta Pons, analista en un SOC del sector financiero, subraya: “Las empresas deben exigir a sus proveedores de IA garantías de resistencia adversaria, especialmente en contextos regulados.”

#### Implicaciones para Empresas y Usuarios

La vulnerabilidad de los VLMs afecta a cualquier organización que utilice inteligencia artificial para automatización, análisis visual o moderación de contenidos. Empresas de seguridad, fintech, logística, sanidad o smart cities deben revisar urgentemente sus arquitecturas y políticas de protección. La integración de IA en procesos críticos obliga a adoptar un enfoque de “AI Security by Design” y a formar a los equipos en las nuevas técnicas de ataque y defensa.

Para los usuarios finales, la confianza en los sistemas de IA puede verse erosionada si se generalizan estos ataques, lo que podría repercutir en la adopción del mercado y en la percepción de seguridad digital.

#### Conclusiones

El trabajo de Cisco Talos evidencia la urgencia de considerar la seguridad adversarial como un pilar fundamental en el despliegue de IA. Las alteraciones invisibles en imágenes pueden comprometer la integridad de modelos críticos, con impactos económicos, legales y reputacionales. La comunidad de ciberseguridad debe anticiparse, adoptando medidas proactivas y promoviendo la colaboración entre desarrolladores, reguladores y usuarios finales para asegurar un ecosistema de IA resiliente.

(Fuente: www.securityweek.com)