Líderes de opinión

Iluminando el Punto Ciego del Riesgo Empresarial: Cómo la Inteligencia Artificial en la Sombra Está Redefiniendo el Paisaje de Amenazas Móviles

mm
Published
Updated

La inteligencia artificial está revolucionando la forma en que trabajamos. Desde resumir documentos y redactar contratos hasta generar código y automatizar flujos de trabajo, las herramientas de inteligencia artificial se han convertido en una parte integral de las operaciones comerciales diarias. Sin embargo, junto con el uso aprobado de la inteligencia artificial dentro de las organizaciones, existe una tendencia en crecimiento conocida como Inteligencia Artificial en la Sombra —el uso no autorizado de aplicaciones de inteligencia artificial sin supervisión formal de los equipos de TI o seguridad.

La Inteligencia Artificial en la Sombra no es simplemente una violación de la política de TI. Representa una brecha estructural de gobernanza en la intersección de la identidad, la protección de datos, el cumplimiento y los sistemas autónomos emergentes. A medida que las capacidades de la inteligencia artificial se expanden, particularmente en entornos móviles, las organizaciones enfrentan una superficie de amenazas en crecimiento que los controles de seguridad tradicionales nunca estuvieron diseñados para abordar.

Móvil: Un Multiplicador de Fuerza para el Riesgo de Inteligencia Artificial en la Sombra

A medida que la adopción móvil se acelera, el riesgo de la Inteligencia Artificial en la Sombra se incrementa. Los smartphones y tabletas se han convertido en el centro de operaciones de la empresa, consolidando la identidad, el mensajería y el acceso a la nube en un solo punto de conexión siempre activo. Mientras tanto, las aplicaciones impulsadas por la inteligencia artificial están inundando las tiendas de aplicaciones, lo que permite a los empleados desplegar capacidades agénticas instantáneamente, con frecuencia fuera de la supervisión de TI. De hecho, Lookout ha identificado más de 25,000 aplicaciones móviles con capacidades de inteligencia artificial ya presentes en la Apple App Store y Google Play Store, lo que subraya lo rápidamente que esta exposición se está desarrollando en el borde móvil.

A medida que la movilidad y la inteligencia artificial no autorizada se cruzan, la exposición de la empresa crece, afirmando una verdad fundamental: el riesgo móvil es el riesgo empresarial.

Inteligencia Artificial Agéntica: Actores Digitales Autónomos Dentro de la Organización

La Inteligencia Artificial Agéntica introduce otro cambio en el riesgo de la empresa. A diferencia de las herramientas generativas pasivas que simplemente producen contenido en respuesta a los prompts, los sistemas agénticos están diseñados para planificar, decidir y ejecutar acciones de manera independiente. Pueden iniciar comunicaciones de forma autónoma, desencadenar transacciones financieras, modificar registros, interactuar con aplicaciones empresariales y encadenar flujos de trabajo de varios pasos sin supervisión humana. En efecto, operan como actores digitales dentro de la organización.

Cuando estas capacidades funcionan fuera de los marcos de gobernanza establecidos, amplifican el riesgo a velocidad de máquina. Las decisiones que antes requerían juicio humano ahora se pueden ejecutar instantáneamente, repetidamente y a escala. Los permisos de acceso, las integraciones de API y la autoridad delegada transforman estos sistemas de herramientas asesoras en agentes operativos capaces de mover datos, alterar sistemas e iniciar procesos empresariales.

Por ejemplo, un asistente de inteligencia artificial basado en móviles con acceso a correo electrónico corporativo y almacenamiento en la nube podría resumir de forma autónoma materiales confidenciales de la junta directiva y transmitirlos a un servicio de inteligencia artificial externo para “análisis”. Incluso si se hace con intención benigna, las implicaciones de gobernanza son profundas: la información confidencial puede salir de entornos controlados, las obligaciones regulatorias podrían activarse, los registros de auditoría pueden ser incompletos y los requisitos de residencia de datos podrían violarse. El riesgo no es solo la fuga de datos, sino la delegación de autoridad operativa a sistemas que pueden no ser visibles, autorizados o gobernados.

Gobernanza y el Auge de la ISO 42001

A medida que el riesgo de la inteligencia artificial se acelera, los marcos de gobernanza globales están surgiendo para imponer estructura y responsabilidad. Entre los más significativos se encuentra la ISO/IEC 42001, el estándar internacional para Sistemas de Gestión de la Inteligencia Artificial. La ISO 42001 requiere que las organizaciones implementen procesos de gobernanza basados en el riesgo para supervisar, monitorear y gestionar continuamente los sistemas de inteligencia artificial.

El estándar se aplica no solo a los despliegues tradicionales de inteligencia artificial, sino también a los sistemas de inteligencia artificial agéntica capaces de acción autónoma. Las organizaciones deben demostrar visibilidad, control y trazabilidad en el uso de la inteligencia artificial dentro de sus entornos. La Inteligencia Artificial en la Sombra erosiona directamente este mandato. Cuando los empleados despliegan herramientas de inteligencia artificial fuera de los canales autorizados, las empresas pierden la capacidad de afirmar con credibilidad una supervisión integral de la inteligencia artificial.

En sectores regulados —incluyendo la atención médica, los servicios financieros, el gobierno y la infraestructura crítica— esta brecha de gobernanza es particularmente consecuente. El uso no gestionado de la inteligencia artificial puede crear una exposición material al cumplimiento bajo estatutos de privacidad, regulaciones de protección de datos y obligaciones contractuales.

Los Controles de Seguridad Tradicionales no son Suficientes en Móviles

Muchas organizaciones asumen que los controles de seguridad existentes —como las puertas de enlace de correo electrónico, las plataformas de protección de puntos finales y las CASB— son suficientes para gestionar el riesgo de la inteligencia artificial. En la práctica, no lo son. La Inteligencia Artificial en la Sombra, particularmente en entornos móviles donde la actividad ocurre enteramente en smartphones y tabletas, puede evitar los controles basados en escritorio y evitar la supervisión tradicional de la red. Sin visibilidad dedicada en las aplicaciones móviles, los equipos de seguridad carecen de la perspicacia necesaria para detectar la exfiltración de datos impulsada por la inteligencia artificial, el uso no autorizado o la actividad del sistema autónomo que ocurre más allá de los controles de gobernanza.

El Imperativo de Cumplimiento: Identificar Aplicaciones de Inteligencia Artificial Móviles

Para alinearse con la ISO 42001 y las expectativas regulatorias emergentes, las organizaciones requieren capacidades de seguridad que puedan identificar aplicaciones móviles habilitadas para la inteligencia artificial, detectar el uso no autorizado o de alto riesgo de la inteligencia artificial, monitorear los flujos de datos entre las aplicaciones de inteligencia artificial y los sistemas empresariales, evaluar los patrones de comportamiento agéntico y aplicar controles de política directamente en el punto de conexión móvil. Los productos de seguridad capaces de clasificar y analizar aplicaciones móviles impulsadas por la inteligencia artificial —particularmente aquellas con capacidades autónomas— se están convirtiendo en herramientas de cumplimiento esenciales en lugar de mejoras opcionales.

Sin visibilidad en las aplicaciones móviles que incorporan motores de inteligencia artificial, las organizaciones no pueden realizar evaluaciones de riesgo de inteligencia artificial significativas, documentar la supervisión o aplicar controles de gobernanza. A medida que la inteligencia artificial se integra en aplicaciones de productividad, plataformas de mensajería y herramientas de flujo de trabajo, la detección debe evolucionar más allá de la identificación tradicional de malware para incluir el análisis de comportamiento, el mapeo de permisos y el monitoreo continuo del acceso y movimiento de datos.

Llamada a la Acción

La Inteligencia Artificial en la Sombra no es una preocupación futura; ya está incrustada en los dispositivos móviles que impulsan el trabajo empresarial. A medida que la adopción se acelera, las brechas de gobernanza se ampliarán primero —y más rápido— en móviles. Los líderes de seguridad deben saber qué aplicaciones de inteligencia artificial están presentes en los dispositivos corporativos y BYOD, detectar el comportamiento agéntico dentro de las aplicaciones móviles y monitorear los flujos de datos impulsados por la inteligencia artificial que salen de los puntos de conexión. Debido a que la Inteligencia Artificial en la Sombra prospera dentro del tráfico móvil cifrado y los ecosistemas de aplicaciones, el cumplimiento ahora depende de las capacidades de seguridad nativas de móviles que hacen visible la actividad de la inteligencia artificial y aplican controles de gobernanza.

A medida que la inteligencia artificial redefine las operaciones comerciales, gobernar la inteligencia artificial significa en última instancia asegurar los dispositivos móviles que los empleados llevan todos los días.

mm

Jim Dolce es el Director Ejecutivo y Presidente de la Junta Directiva en Lookout. Ha sido el fundador de cuatro empresas de tecnología exitosas y ha ocupado puestos ejecutivos en Juniper Networks, Inc. y Akamai Technologies, Inc. Jim se unió a Lookout en marzo de 2014 para guiar a la empresa de ciberseguridad en su próxima etapa de crecimiento, incluyendo la re-arquitectura de los productos, liderazgo y fuerza laboral de Lookout para servir a grandes empresas y agencias gubernamentales que buscan aprovechar los beneficios de la movilidad sin sacrificar la seguridad.