Connect with us

La seguridad de la IA no está rota, solo estamos defendiendo las cosas equivocadas

Líderes de opinión

La seguridad de la IA no está rota, solo estamos defendiendo las cosas equivocadas

mm
Published
Updated

La industria de la ciberseguridad tiene un patrón para cuando surge una nueva tecnología, inmediatamente comenzamos a construir murallas alrededor de ella. Lo hicimos con la nube, lo hicimos con contenedores, y ahora, lo estamos haciendo con la IA, excepto que esta vez, las murallas que estamos construyendo están en lugares completamente equivocados.

Al entrar en cualquier revisión de seguridad empresarial hoy en día, escucharás las mismas prioridades: proteger los modelos de IA, proteger los datos de entrenamiento, validar las salidas y desplegar copilotos impulsados por IA. Los proveedores están apresurándose a vender herramientas de “seguridad de IA” que se centran exclusivamente en controles a nivel de modelo, como guardrails, defensas de inyección de prompts y plataformas de monitoreo de modelos.

Pero los atacantes están utilizando tus integraciones de IA como autopistas hacia todo lo demás.

La superficie de ataque real que nadie está vigilando

Un patrón que observamos consistentemente en entornos empresariales cuenta una historia preocupante de equipos de seguridad que invierten mucho en proteger sus entornos de desarrollo de IA: controles de acceso a modelos, marcos de gobernanza de datos, herramientas de seguridad de MLOps. Esto da una falsa confianza de que su IA está “bloqueada”.

Pero cuando mapeas la superficie de ataque real, ves que los chatbots de IA a menudo tienen tokens de OAuth para docenas de plataformas de SaaS, claves de API con permisos excesivos en la nube y relaciones de confianza de identidad que pueden crear caminos directos desde una simple inyección de prompt hasta la infraestructura de producción. Los modelos en sí pueden ser seguros, pero los ecosistemas en los que viven a menudo están abiertos, y esto no es un caso de borde.

Las empresas ahora utilizan un promedio de 130+ aplicaciones de SaaS, con integraciones de IA que abarcan proveedores de identidad, infraestructura en la nube, bases de datos y sistemas críticos para el negocio. Cada integración es una ruta de ataque potencial, y cada conexión de API es un límite de confianza que los atacantes están probando activamente.

El problema no es que nuestras herramientas de seguridad de IA estén rotas. Es que estamos protegiendo componentes individuales mientras los atacantes explotan las conexiones entre ellos.

Por qué la seguridad centrada en el modelo pierde el punto

El enfoque actual de la seguridad de IA opera en un malentendido fundamental de cómo funcionan los ataques modernos. Tratamos a la IA como un activo independiente que necesita protección, similar a cómo podríamos proteger una base de datos o una aplicación web. Pero la IA en producción no existe en aislamiento. Es un nodo en un grafo complejo de identidades, permisos, API y flujos de datos.

Considera un despliegue típico de IA empresarial. Tienes un agente de IA con acceso a tu Google Workspace. Está conectado a Salesforce a través de API. Está integrado con Slack para notificaciones. Extrae datos de buckets de AWS S3. Está autenticado a través de Okta o Azure AD. Desencadena flujos de trabajo en ServiceNow.

La seguridad de IA tradicional se centra en el modelo en sí: su postura de seguridad, validación de prompts, seguridad de salidas. Pero los atacantes se centran en las integraciones: qué pueden alcanzar a través de cuentas de servicio comprometidas, dónde pueden pivotar a través de manipulaciones de API, qué límites de confianza pueden cruzar a través de integraciones explotadas.

El ataque no comienza ni termina con el modelo de IA. El modelo es solo el punto de entrada.

Las rutas de ataque no respetan los límites de productos

Aquí es donde la mayoría de las organizaciones se quedan atascadas. Han desplegado herramientas de seguridad que cada una proporciona visibilidad en un dominio individual. Una herramienta monitorea permisos en la nube. Otra sigue configuraciones de SaaS. Una tercera gestiona la gobernanza de identidad. Una cuarta maneja la gestión de vulnerabilidades.

Cada herramienta te muestra su pieza del rompecabezas. Ninguna de ellas te muestra cómo se conectan las piezas.

Según Gartner, las organizaciones ahora utilizan un promedio de 45+ herramientas de seguridad. A pesar de esta gran inversión, los atacantes están encadenando con éxito malconfiguraciones en estos dominios porque ninguna herramienta individual puede ver la ruta de ataque completa.

Un atacante no necesita encontrar una vulnerabilidad crítica en tu modelo de IA. Solo necesita encontrar una cadena. Tal vez sea un rol de IAM mal configurado adjunto a tu servicio de IA, que tiene permisos para un bucket de S3, que contiene credenciales para una aplicación de SaaS que tiene acceso de administrador a tu entorno de producción.

Cada malconfiguración individual podría tener una puntuación “media” o “baja” en tus herramientas de seguridad. Pero encadenadas juntas, eso es una exposición crítica. Y es completamente invisible si estás mirando cada dominio de seguridad de forma aislada.

La gestión de exposición imperativa

Es por esto que la conversación necesita cambiar de “seguridad de IA” a gestión continua de exposición a amenazas para entornos integrados con IA.

No es suficiente preguntar si nuestros modelos de IA son seguros. Los equipos de seguridad necesitan entender qué puede alcanzar un atacante si compromete una cuenta de servicio de IA. Necesitan visibilidad en cómo las malconfiguraciones en la nube, SaaS y sistemas de identidad podrían encadenarse. Necesitan saber cómo las integraciones de IA están cambiando su superficie de ataque en tiempo real. Y necesitan priorizar riesgos según la capacidad real de ataque, no solo según las puntuaciones de gravedad.

La mayoría de los programas de seguridad aún priorizan riesgos de forma aislada, utilizando puntuaciones de CVSS y listas de verificación de cumplimiento que ignoran completamente si una vulnerabilidad es explotable en su entorno específico.

Esta brecha es aún más pronunciada con los sistemas de IA porque cambian constantemente. Se agregan nuevas integraciones semanalmente. Evolucionan los permisos. Cambian las conexiones de API. Tu superficie de ataque del mes pasado no es tu superficie de ataque de hoy, pero tu evaluación de seguridad probablemente sí.

Qué significa la seguridad consciente de la ruta de ataque

Proteger la IA en producción requiere un enfoque fundamentalmente diferente, y se reduce a cuatro cambios clave en la forma de pensar.

Primero, necesitas visibilidad unificada en todos los dominios de seguridad. Deja de pedir a cada herramienta de seguridad que opere en su propio silo. Tus herramientas de seguridad en la nube, gobernanza de identidad, gestión de SaaS y escaneo de vulnerabilidades todas contienen piezas del rompecabezas de la ruta de ataque. Necesitan compartir datos en tiempo real para que puedas ver cómo se encadenan las malconfiguraciones.

Segundo, adopta la simulación continua de la ruta de ataque. No esperes a las pruebas de penetración o ejercicios de equipo rojo para descubrir rutas explotables. Prueba continuamente cómo podría moverse un atacante a través de tu entorno, centrándote en la explotabilidad real en lugar de confiar en puntuaciones de gravedad teóricas.

Tercero, prioriza según el contexto. Un bucket de S3 mal configurado no es crítico solo porque es público. Es crítico si es público y contiene credenciales y esas credenciales tienen acceso privilegiado, y son accesibles desde un activo expuesto a Internet. El contexto importa más que cualquier puntuación individual.

Cuarto, avanza hacia la remediación preventiva. Para cuando tu equipo de SOC esté investigando una alerta, ya habrás perdido tiempo valioso de respuesta. La defensa moderna requiere la capacidad de cerrar rutas explotables antes de que sean utilizadas, no después de un incidente.

La advertencia que no podemos ignorar

A medida que la IA se incorpora en cada capa de la pila empresarial, la superficie de ataque se expande más rápido de lo que los equipos de seguridad pueden razonar manualmente. Estamos agregando integraciones de IA a 10 veces el ritmo al que las estamos protegiendo.

Si estás protegiendo la IA de forma aislada, protegiendo el modelo mientras ignoras el ecosistema en el que opera, ya estás detrás. Los atacantes no piensan en herramientas, piensan en rutas. No explotan vulnerabilidades individuales. Encadenan malconfiguraciones en todo tu entorno.

Las empresas que tendrán éxito en proteger la IA no serán las que tengan la mayoría de las herramientas de seguridad de IA. Serán las que entiendan que la seguridad de IA es inseparable de la gestión de exposición en toda su superficie de ataque.

La seguridad del modelo es la base. Lo que importa es entender qué puede alcanzar un atacante cuando compromete una integración de IA. Hasta que los equipos de seguridad puedan responder a esto continuamente, en tiempo real, en todo su entorno, no están protegiendo la IA. Solo están esperando a que las murallas que han construido estén en los lugares correctos.

Related Topics:
mm

Piyush Sharma, Co-Fundador y CEO de Tuskira, aporta más de dos décadas de experiencia en ciberseguridad, respaldada por una licenciatura en Ciencias de la Computación y un MBA. Un empresario serial con dos salidas exitosas, Piyush ha ocupado puestos destacados de liderazgo de productos y negocios, incluyendo Symantec y Tenable. También se desempeñó como CEO y co-fundador de Accurics, que posteriormente fue adquirida por Tenable Inc. Un inventor consumado, Piyush posee una docena de patentes en ciberseguridad, lo que demuestra sus contribuciones innovadoras al campo.