Nueva solución de Tenable monitoriza y restringe el uso no autorizado de IA en entornos corporativos

Introducción

El despliegue acelerado de herramientas de inteligencia artificial (IA) en empresas ha generado una preocupación creciente por los riesgos asociados al uso no autorizado, también conocido como “Shadow AI”. Este fenómeno implica la adopción y utilización de aplicaciones y servicios de IA por parte de empleados sin la supervisión ni aprobación explícita de los equipos de seguridad o cumplimiento. En respuesta a este reto, Tenable ha lanzado el complemento Tenable One AI Exposure, una solución destinada a identificar el uso no sancionado de IA y a reforzar el cumplimiento normativo mediante el control de herramientas aprobadas.

Contexto del Incidente o Vulnerabilidad

La proliferación de aplicaciones de IA generativa y servicios de machine learning como ChatGPT, Google Bard o Copilot ha introducido nuevas superficies de riesgo en las organizaciones. Los empleados, buscando eficiencia, pueden recurrir a aplicaciones externas para manipular información sensible, lo que incrementa la probabilidad de fugas de datos, exposición a amenazas avanzadas y el incumplimiento de marcos regulatorios como el RGPD (Reglamento General de Protección de Datos) o la futura NIS2.

El shadow IT no es un fenómeno nuevo, pero la velocidad a la que las aplicaciones de IA se integran en los flujos de trabajo empresariales dificulta su control. Según estudios recientes, cerca del 45% de las organizaciones admiten no tener visibilidad completa sobre las herramientas de IA utilizadas en su entorno, y hasta un 60% de los CISO consideran la IA generativa como un riesgo prioritario en 2024.

Detalles Técnicos

El complemento Tenable One AI Exposure se integra con la plataforma Tenable One Exposure Management, ampliando sus capacidades para incluir la detección, análisis y gestión de riesgos asociados al uso de IA no autorizada. A través de la monitorización de endpoints, tráfico de red y logs, el sistema puede:

– Descubrir instancias de aplicaciones de IA no autorizadas en tiempo real.
– Identificar usuarios, dispositivos y departamentos que acceden a servicios de IA no aprobados.
– Correlacionar actividades sospechosas con indicadores de compromiso (IoC) y tácticas, técnicas y procedimientos (TTP) del framework MITRE ATT&CK (por ejemplo, T1567 Exfiltration Over Web Service o T1071 Application Layer Protocol).
– Generar alertas automáticas y aplicar políticas de bloqueo o restricción mediante la integración con soluciones de gestión de acceso e infraestructura de red.
– Elaborar inventarios de herramientas de IA autorizadas y controlar el cumplimiento de las políticas internas.

Actualmente, el complemento es capaz de identificar tanto aplicaciones SaaS de IA como integraciones embebidas en aplicaciones corporativas. La solución soporta la integración con SIEMs y herramientas de orquestación (SOAR), facilitando la respuesta automatizada ante incidentes y la generación de informes de cumplimiento.

Impacto y Riesgos

La exposición a IA no gestionada puede derivar en varios escenarios de riesgo:

– Fuga de datos confidenciales, especialmente información protegida por GDPR o datos de clientes.
– Incumplimiento normativo, lo que puede traducirse en sanciones económicas que, en Europa, alcanzan hasta el 4% de la facturación global anual.
– Incremento en la superficie de ataque, facilitando el acceso de actores maliciosos a través de APIs o integraciones de IA vulnerables.
– Pérdida de control sobre la integridad y protección de la información, dificultando la trazabilidad y auditoría de acciones.
– Riesgo reputacional derivado de incidentes de seguridad vinculados al uso irresponsable de IA.

Medidas de Mitigación y Recomendaciones

Para abordar estos desafíos, los expertos recomiendan:

– Implementar soluciones de descubrimiento y control de aplicaciones de IA no autorizadas, como Tenable One AI Exposure.
– Definir y actualizar políticas claras sobre el uso permitido de IA en la organización.
– Realizar formaciones periódicas a empleados sobre riesgos y buenas prácticas en el uso de IA generativa.
– Integrar la monitorización de IA en los procesos de respuesta ante incidentes y gestión de vulnerabilidades.
– Revisar contratos y acuerdos con proveedores para asegurar el cumplimiento normativo y la protección de datos.
– Mantener inventarios actualizados de aplicaciones autorizadas y revisar periódicamente los permisos de acceso.

Opinión de Expertos

Mario Sánchez, CISO de una empresa del sector financiero, destaca: “La irrupción de la IA generativa ha desbordado los mecanismos tradicionales de control de aplicaciones. Herramientas como la de Tenable permiten a los equipos de seguridad recuperar visibilidad y reforzar la gobernanza, minimizando así el riesgo de incidentes y sanciones”.

Por su parte, Ana Ruiz, analista de amenazas en un SOC, añade: “El principal valor de estas soluciones radica en su capacidad de correlación de eventos y automatización de respuestas, especialmente en entornos híbridos y multinube, donde el shadow AI puede pasar desapercibido durante semanas”.

Implicaciones para Empresas y Usuarios

La adopción de herramientas de control de IA no autorizada se perfila como un requisito esencial para adaptarse a las exigencias de NIS2 y la inminente regulación europea sobre inteligencia artificial. Las empresas que invierten en visibilidad y control de sus activos de IA estarán mejor posicionadas para afrontar auditorías, evitar sanciones y reducir el riesgo de filtraciones masivas de datos.

Para los usuarios, la existencia de estas herramientas implica una mayor responsabilidad en el uso de tecnologías emergentes y la necesidad de adherirse a las directrices corporativas para proteger la información sensible.

Conclusiones

La gestión proactiva del uso de inteligencia artificial en entornos corporativos se consolida como un pilar fundamental de la ciberseguridad moderna. Soluciones como Tenable One AI Exposure permiten a las organizaciones identificar, controlar y mitigar los riesgos asociados al shadow AI, garantizando el cumplimiento normativo y la protección de los activos críticos. Ante el auge de la IA generativa y el endurecimiento de las regulaciones, la visibilidad y el control serán claves para la resiliencia y la competitividad empresarial.

(Fuente: www.darkreading.com)