Habilitación de actores maliciosos y acciones dañinas
Ciertos usos de la inteligencia artificial han suscitado una profunda preocupación, en particular la clonación de voz [58] y la generación de videos deep fake [59]. Un ejemplo destacado de su potencial impacto es el incidente de marzo de 2022, cuando, al inicio de la invasión rusa de Ucrania, hackers difundieron a través del sitio web Ukraine 24 un deep fake del presidente Volodímir Zelenski rindiéndose [60]. Es crucial notar que el software para crear estas falsificaciones es de fácil acceso en internet y requiere un hardware sorprendentemente modesto [61]. En el espectro de usos maliciosos, la IA también se emplea para acelerar el descifrado de contraseñas [62], o para permitir que individuos sin conocimientos especializados desarrollen exploits de software [63, 64] y correos electrónicos de phishing sumamente convincentes [65]. Respecto al control, mientras algunos abogan por restringir la ejecución de modelos de IA potentes en ordenadores personales, la evidencia sugiere que esta estrategia podría ser infructuosa [66]. Finalmente, la transición de sistemas conversacionales tipo ChatGPT hacia "agentes" autónomos —capaces de realizar tareas complejas con poca intervención humana, como Auto-GPT [67]— introduce una nueva y considerable capa de riesgos.
ENTIDAD
3 - Otro
INTENCIÓN
1 - Intencional
TIEMPO
2 - Post-despliegue
ID del riesgo
mit61
Linea de dominio
4. Actores Maliciosos y Mal Uso
4.0 > Uso malicioso
Estrategia de mitigacion
1. **Fortalecimiento de la Postura de Autenticación y Ciberseguridad Central.** Implementar protocolos de autenticación multifactor (MFA) resistentes al *phishing*, preferentemente mediante el uso de claves de seguridad físicas (FIDO2), y modernizar la arquitectura de almacenamiento de contraseñas mediante el uso de funciones *hash* lentas y *saladas* (ej., bcrypt o Argon2). De manera concurrente, se debe integrar un enfoque de *seguridad por diseño* en el ciclo de vida de la IA (*secure-by-design*), incluyendo *pruebas adversariales* (*adversarial testing*) rigurosas para evaluar las vulnerabilidades de los modelos contra la explotación. 2. **Implantación de Controles Específicos contra Medios Sintéticos y Desinformación.** Establecer sistemas de verificación de autenticidad en tiempo real y *zero-trust* para instrucciones críticas basadas en voz o video (deepfakes), complementados con la aplicación de biometría de voz y la verificación de procedencia mediante metadatos y firmas digitales (ej., C2PA/CAI). Además, se requiere un programa constante de educación y concienciación para empleados y usuarios sobre la detección de *deepfakes* y la verificación de la veracidad de la información. 3. **Establecimiento de un Marco de Gobernanza y Monitoreo Continuo del Comportamiento de la IA.** Formular una estrategia de gobernanza de la IA que contemple políticas, procesos y la asignación de responsabilidades de mitigación de riesgos. Esto debe incluir la implementación de análisis continuo del comportamiento (*continuous behavioral analytics*) y la validación estricta de entradas en los *endpoints* de inferencia, crucial para mitigar la explotación a través de agentes autónomos y el uso malicioso generalizado.