Los errores humanos provocan la mayoría de los ciberincidentes. ¿Podría ayudar la IA?

Se espera que el impacto de la ciberdelincuencia alcance 10 billones de dólares este año, superando el PIB de todos los países del mundo excepto de EE. UU. y China. Además, se estima que la cifra aumentará hasta casi 24 billones de dólares en los próximos cuatro años.

Aunque los hackers sofisticados y los ciberataques impulsados por la IA tienden a acaparar los titulares, una cosa está clara: la mayor amenaza son los errores humanos, teniendo en cuenta más del 80% de incidentes. Esto, a pesar del aumento exponencial de la ciberformación organizacional a lo largo del la última década, y aumentar la conciencia y la mitigación de riesgos en las empresas e industrias.

¿Podría la IA acudir al rescate? Es decir, ¿podría la inteligencia artificial ser la herramienta que ayude a las empresas a controlar la negligencia humana? Y de ser así, ¿cuáles son los pros y los contras de confiar en la inteligencia de las máquinas para reducir el riesgo del comportamiento humano?

Como era de esperar, actualmente hay mucho interés en Ciberseguridad impulsada por la IA, con estimaciones que sugieren que el mercado de herramientas de ciberseguridad de la IA pasará de solo 4 000 millones de dólares en 2017 a un patrimonio neto de casi 35 000 millones de dólares en 2025. Estas herramientas suelen incluir el uso de aprendizaje automático, aprendizaje profundo, y procesamiento del lenguaje natural para reducir las actividades malintencionadas y detectar ciberanomalías, fraudes o intrusiones. La mayoría de estas herramientas se centran en exponer los cambios de patrón en los datos ecosistemas, como los activos empresariales en la nube, la plataforma y el almacén de datos, con un nivel de sensibilidad y granularidad que normalmente pasa desapercibido para los observadores humanos.

[

Insight Center Collection

Managing Cyber Risk

Exploring the challenges and the solutions.

](/insight-center/managing-cyber-risk)

Por ejemplo, los algoritmos supervisados de aprendizaje automático pueden clasificar los ataques malignos de correo electrónico con Precisión del 98%, detectando características «similares» basándose en la clasificación o codificación humanas, mientras que el reconocimiento mediante aprendizaje profundo de la intrusión en la red ha logrado Precisión del 99,9%. En cuanto al procesamiento del lenguaje natural, ha demostrado altos niveles de fiabilidad y precisión a la hora de detectar la actividad de suplantación de identidad y el malware a través de extracción de palabras clave en los dominios y mensajes de correo electrónico en los que la intuición humana suele fallar.

Sin embargo, como han señalado los estudiosos, confiar en la IA para proteger a las empresas de los ciberataques es un « arma de doble filo.» Lo más notable es que, programas de investigación que el simple hecho de inyectar un 8% de datos de entrenamiento «venenosos» o erróneos puede reducir la precisión de la IA en un enorme 75%, lo que no es diferente a la forma en que los usuarios corrompen las interfaces de usuario conversacionales o idioma grande modelos mediante inyección sexista preferencias o racista idioma en los datos de entrenamiento. Como suele decir ChatGPT, «como modelo lingüístico, soy tan preciso como la información que recibo», lo que crea un juego perenne del gato y el ratón en el que la IA debe desaprender tan rápido y con la frecuencia que aprende. De hecho, la fiabilidad y la precisión de la IA para prevenir los ataques del pasado suelen ser un indicador débil de los ataques futuros.

Además, confíe en la IA tiende a resultar en la gente que delega tareas no deseadas a la IA sin comprensión ni supervisión, sobre todo cuando la IA no es explicable (lo que, paradójicamente, a menudo coexiste con el más alto nivel de precisión). Terminado-la confianza en la IA es bien documentado , especialmente cuando las personas tienen poco tiempo y, a menudo, conduce a una difusión de la responsabilidad en los humanos, lo que aumenta su comportamiento descuidado e imprudente. Como resultado, en lugar de mejorar la tan necesaria colaboración entre la inteligencia humana y la de las máquinas, la consecuencia no deseada es que esta última acaba diluyendo la primera.

Como sostengo en mi último libro, Yo, humano: la IA, la automatización y la búsqueda por recuperar lo que nos hace únicos, parece haber una tendencia general a la que los avances de la IA son bienvenidos como excusa para nuestro propio estancamiento intelectual. La ciberseguridad no es la excepción, en el sentido de que estamos encantados de acoger con satisfacción los avances de la tecnología para protegernos de nuestro propio comportamiento negligente o imprudente, y de estar «descolgados», ya que podemos echar la culpa del error humano al de la IA. Sin duda, este no es un resultado positivo para las empresas, por lo que la necesidad de educar, alertar, formar y gestionar el comportamiento humano sigue siendo tan importante como siempre, si no más.

Es importante destacar que las organizaciones deben seguir esforzándose para aumentar conciencia de los empleados del panorama de riesgos en constante cambio, que solo aumentará en complejidad e incertidumbre debido a la creciente adopción y penetración de la IA, tanto en el lado de ataque como en el defensivo. Si bien puede que nunca sea posible extinguir por completo los riesgos o eliminar las amenazas, el aspecto más importante de la confianza no es si confiamos en la IA o en los humanos, sino si confiamos en una empresa, marca o plataforma más que en otra. Esto no exige un lo uno o lo otro elegir entre confiar en la inteligencia humana o artificial para mantener las empresas a salvo de los ataques, sino por una cultura que consiga aprovechar tanto las innovaciones tecnológicas como la experiencia humana con la esperanza de ser menos vulnerable que otras.

En última instancia, se trata de una cuestión de liderazgo: tener no solo el derecho experiencia o competencia técnica, sino también el perfil de seguridad correcto en la cúspide de la organización, y particularmente en tablas. Como lo han hecho los estudios mostrado durante décadas, las organizaciones dirigidas por líderes concienzudos, conscientes de los riesgos y éticos tienen muchas más probabilidades de ofrecer una cultura y un clima de seguridad a sus empleados, en los que los riesgos sigan siendo posibles, pero menos probables. Sin duda, cabe esperar que estas empresas aprovechen la IA para mantener sus organizaciones seguras, pero también es su capacidad para educar a los trabajadores y mejorar hábitos humanos eso los hará menos vulnerables a los ataques y a la negligencia. Como Samuel Johnson tiene razón anotado, mucho antes de que la ciberseguridad pasara a ser motivo de preocupación, «las cadenas del hábito son demasiado débiles para sentirlas hasta que son demasiado fuertes para romperlas».