AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### La democratización de la IA y el desarrollo low-code: Nuevos riesgos para la seguridad corporativa

admin

#### 1. Introducción

La rápida popularización de la inteligencia artificial (IA) y la irrupción de plataformas de desarrollo low-code/no-code están transformando el panorama tecnológico de las empresas. Estas innovaciones prometen una mayor eficiencia, reducción de costes y democratización del acceso a herramientas avanzadas. Sin embargo, también introducen una serie de riesgos emergentes y poco conocidos para la seguridad corporativa, que requieren una atención específica por parte de CISOs, analistas SOC, pentesters y responsables de cumplimiento normativo.

#### 2. Contexto del Incidente o Vulnerabilidad

A lo largo de los últimos dos años, la adopción de soluciones IA y frameworks de desarrollo simplificado se ha disparado, especialmente en sectores como banca, retail, logística y administración pública. Plataformas como Microsoft Power Platform, Google AppSheet o herramientas de automatización (RPA), así como asistentes IA como Copilot o ChatGPT, han permitido que perfiles no técnicos puedan crear aplicaciones o integrar IA en procesos críticos. Sin embargo, la falta de formación en ciberseguridad, así como la acelerada incorporación de estos entornos, han provocado incidentes de fuga de datos, exposición de credenciales y proliferación de Shadow IT.

Según un informe de Gartner publicado en 2023, el 70% de las aplicaciones empresariales serán creadas a través de plataformas low-code para 2025. Paralelamente, el uso de modelos generativos de IA en el desarrollo y la toma de decisiones empresariales está aumentando la superficie de ataque, exponiendo a las compañías a nuevos vectores de amenazas.

#### 3. Detalles Técnicos

Las amenazas asociadas a la democratización de IA y desarrollo simplificado incluyen tanto vulnerabilidades técnicas como riesgos de gobernanza y cumplimiento normativo. Entre las más relevantes destacan:

– **Exposición de APIs e integraciones inseguras:** Muchas soluciones low-code permiten conectar servicios críticos mediante APIs, pero suelen carecer de controles de autenticación robustos y validación de entrada, facilitando ataques como el abuso de API (T1595.001, MITRE ATT&CK) o explotación de endpoints.
– **Generación de código inseguro por IA:** Herramientas como Copilot pueden sugerir fragmentos de código con vulnerabilidades conocidas (CWE-89 SQL Injection, CWE-79 XSS), que son implementados sin revisión por parte de usuarios inexpertos.
– **Shadow IT y pérdida de control:** El despliegue de aplicaciones por parte de usuarios no técnicos genera activos no inventariados ni monitorizados, dificultando la detección de anomalías e incidentes.
– **Filtración de datos sensibles:** La integración de IA generativa y chatbots en procesos empresariales puede provocar la fuga no intencionada de información confidencial, especialmente si se conectan a fuentes de datos sin controles DLP (Data Loss Prevention).
– **Frameworks comunes usados en ataques:** Se han observado campañas donde se explotan rápidamente vulnerabilidades en plataformas low-code utilizando herramientas como Metasploit y Cobalt Strike, aprovechando la falta de actualizaciones y el desconocimiento de los equipos de IT.

Un ejemplo reciente fue la explotación del CVE-2023-29360, una vulnerabilidad crítica en Microsoft Power Apps que permitía el acceso no autorizado a datos almacenados en la nube. Asimismo, se han documentado ataques de phishing dirigidos, donde los atacantes emplean IA generativa para crear correos y landing pages sofisticadas, superando los filtros tradicionales.

#### 4. Impacto y Riesgos

El impacto de estas amenazas es significativo. Según datos de IBM, el coste medio de una brecha de datos en 2023 superó los 4,45 millones de dólares, y se espera que incidentes relacionados con aplicaciones desarrolladas por usuarios multipliquen este valor debido a la dificultad de detección y respuesta. Además, la exposición de datos personales puede conllevar sanciones bajo GDPR (Reglamento General de Protección de Datos) y la Directiva NIS2, especialmente para operadores de servicios esenciales.

El uso de IA también aumenta el riesgo de ataques de supply chain, ya que los modelos pueden incorporar dependencias inseguras o ser manipulados para filtrar información sensible (ataques de “data poisoning” o “model inversion”).

#### 5. Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, los expertos recomiendan:

– **Inventario y control de aplicaciones creadas:** Implementar soluciones de descubrimiento y gestión de Shadow IT.
– **Revisión y auditoría de código generado por IA:** Integrar herramientas SAST/DAST y escaneos automatizados en los pipelines CI/CD.
– **Hardening de APIs y autenticación fuerte:** Aplicar OAuth 2.0, validación de entrada y monitorización de logs.
– **Formación específica en ciberseguridad:** Fomentar la concienciación de usuarios y desarrolladores citizen developers.
– **Limitar el acceso a datos sensibles:** Segmentar la red y restringir los permisos de las aplicaciones low-code.
– **Supervisión continua:** Monitorizar las actividades de los modelos IA y establecer políticas de uso aceptable.

#### 6. Opinión de Expertos

Raúl Pérez, CISO de una entidad financiera europea, advierte: “La velocidad con la que se adoptan estas tecnologías supera nuestra capacidad de gobernarlas. Es fundamental combinar innovación y control, y no delegar la seguridad en plataformas externas o modelos de caja negra”.

Por su parte, el analista de amenazas de Kaspersky, María Gómez, indica: “Estamos viendo un auge de ataques específicos contra entornos low-code y aplicaciones IA, donde el eslabón débil es la falta de experiencia en seguridad de los nuevos desarrolladores”.

#### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar en profundidad sus políticas de seguridad, adaptando los controles tradicionales a estos nuevos entornos. El cumplimiento de la GDPR y NIS2 exige trazabilidad, minimización de datos y prevención de fugas, lo cual es especialmente complejo en escenarios descentralizados y con IA en la cadena de decisión. La falta de control puede dar lugar a sanciones millonarias y pérdida de confianza por parte de clientes y partners.

#### 8. Conclusiones

La democratización de la IA y el desarrollo low-code ofrecen grandes oportunidades, pero también abren la puerta a amenazas inéditas. La clave estará en equilibrar agilidad e innovación con controles de seguridad avanzados, fomentando la colaboración entre equipos de IT, seguridad y negocio. Solo así será posible aprovechar el potencial transformador de estas tecnologías sin comprometer la integridad y la confidencialidad de la información corporativa.

(Fuente: www.kaspersky.com)