Connect with us

Su IA sabe demasiado: el AI confidencial ya no es opcional

Líderes de opinión

Su IA sabe demasiado: el AI confidencial ya no es opcional

mm
Published
Updated

Los modelos generativos están pasando de los laboratorios de investigación a los procesos comerciales regulares — y una debilidad estructural silenciosa está creciendo justo junto a ellos.

Tome este ejemplo: Microsoft Copilot accedió a casi tres millones de registros sensibles por organización en el primer semestre de 2025. Tales números significan que hay un problema sistémico con la forma en que se aborda el AI. Las empresas han construido poderosos motores para procesar datos, pero no han implementado suficientes protecciones para los datos que utilizan.

Los grandes modelos de lenguaje y las herramientas de asistente a menudo computan documentos, mensajes y bases de datos sin protecciones basadas en hardware. Esta brecha, que revela “datos en uso” durante la inferencia, ahora amenaza directamente a las empresas que priorizan la privacidad, el cumplimiento y la confianza del cliente.

Es aquí donde entra en juego el cómputo confidencial. El proceso utiliza entornos de ejecución de confianza (TEEs) asistidos por hardware para mantener el código y los datos seguros mientras se utilizan. Estos TEE son áreas de memoria aisladas que están protegidas del sistema operativo host y del hipervisor.

Esa protección cambia el modelo de seguridad, permitiendo que los secretos se procesen sin exponerse al resto de la pila. Microsoft y otros proveedores de la nube ahora ofrecen inferencia privada y máquinas virtuales (VM) que integran la inferencia dentro de los TEE.

Por qué la privacidad es importante para las reglas y la gobernanza

La criptografía convencional suele proteger los datos que están en reposo o en tránsito, con los datos que se procesan activamente no disfrutando de la misma protección, aunque eso es donde el AI generativo interactúa más con las entradas privadas.

Al comienzo del año, un estudio de los investigadores de la Universidad de Cornell sobre Unidades de cómputo de confianza reveló cómo el aislamiento y la autenticación respaldados por hardware pueden ayudar a reducir la necesidad de confianza entre las partes. Además, el año pasado, los analistas estimaron que el valor de la infraestructura de cómputo privado fue de más de $13 mil millones, con previsiones que indican un crecimiento aún más rápido a $350.04 mil millones para 2032.

En pocas palabras, más personas están utilizando la tecnología, lo que lleva a que los reguladores y los equipos de cumplimiento muestren más interés en los sistemas de AI que nunca. Como tal, un marco que garantice que los datos sensibles nunca salgan de la ejecución protegida durante las consultas del modelo hará que los registros de auditoría sean mucho más fáciles de seguir, reduciendo el riesgo de problemas legales.

Sin embargo, si las protecciones de tiempo de ejecución no se convierten en la norma, esa diferencia podría hacer que tome más tiempo para que los reguladores acepten el AI en campos que están estrictamente gobernados.

Situaciones de la vida real donde la privacidad es obligatoria

Hay varias escenarios empresariales que muestran por qué el AI confidencial no es un lujo, sino algo que cada organización debe tener.

Por ejemplo, en las finanzas, esto podría aplicarse a instituciones que necesitan ejecutar modelos de detección de fraude y riesgos contra historias de transacciones de los clientes sin dar a los operadores de modelos externos acceso a registros brutos.

En la atención médica, podría haber situaciones en las que los modelos de diagnóstico deben operar en datos clínicos protegidos mientras preservan la privacidad del paciente y cumplen con estrictas obligaciones regulatorias. Además, los gobiernos y las agencias de defensa pueden requerir la ejecución autenticada para ejecutar cargas de trabajo sensibles en nubes de terceros.

Hay tuberías de investigación que combinan conjuntos de datos de varias fuentes, notablemente la investigación de salud federada que solo puede proceder si cada participante está seguro de que sus entradas permanecerán ilegibles durante el cálculo.

También hay investigación académica y de la industria que continúa documentando enfoques de ML que preservan la privacidad para flujos de trabajo médicos que se emparejan bien con la ejecución confidencial.

Cómo la ejecución confidencial realmente protege los datos en uso

La ejecución confidencial depende de dos sistemas conectados: aislamiento de hardware y autenticación. El aislamiento de hardware evita que el software fuera del enclave seguro lea la memoria del enclave.

La autenticación es una forma verificable de verificar el código que se ejecuta dentro del enclave y que el enclave en sí es genuino. Estas características permiten que el propietario del modelo muestre que un modelo funcionará con entradas en un entorno sellado y verificado, y que las salidas solo saldrán después de que se sigan las reglas del enclave.

El resultado es un contrato entre los propietarios de los datos, los operadores del modelo y los proveedores de la nube que hace que sea menos probable que necesiten soluciones legales adversas o recurrir a gimnasia política frágil.

Límites y obstáculos realistas

Por supuesto, adoptar el AI confidencial viene con sus propios desafíos. La autenticación y el hardware que pueden funcionar en enclaves hacen que la implementación sea más complicada, dado que hay una brecha en el ecosistema entre la herramienta de servicio de modelos tradicional y los tiempos de ejecución conscientes del enclave. Algunos tiempos de ejecución del enclave imponen sobrecargas pesadas, costando hasta diez veces más para ejecutar, y también puede haber compensaciones en el rendimiento dependiendo de la cantidad de trabajo.

Además, los costos son más altos ahora que lo que eran para la inferencia de la nube simple, lo que podría hacer que sea desafiante para las pequeñas empresas dar sentido a los números. También hay el problema de cambiar los estándares de interoperabilidad, lo que puede dejar a algunos adoptantes tempranos en riesgo de quedar atrapados con sus vendedores.

Sin embargo, estos problemas son solo problemas de ingeniería transitorios que son resolubles. Los proveedores de la nube y los fabricantes de chips siguen saliendo con nuevos productos, y los proyectos de software están creando middleware que enlaza las pilas de ML actuales y los TEE.

Si algo, las empresas que piensan que el cifrado y los controles de acceso estándar son suficientes están en mayor riesgo porque serán vulnerables cuando los modelos procesen una gran cantidad de registros sensibles.

Llamado a cambios en las prácticas empresariales

Los equipos de gestión de riesgos necesitan cambiar las reglas para comprar y utilizar el AI. La clasificación de datos y la gobernanza siguen siendo importantes, pero necesitan estar respaldadas por garantías técnicas cuando se utilizan.

Los contratos con los proveedores de modelos de terceros deben requerir que muestren pruebas de autenticación. Los equipos de adquisiciones deben pedir líneas de base de rendimiento y opciones auditadas para la ejecución confidencial. Los ejercicios de equipo rojo deben incluir pruebas conscientes del enclave como parte de su trabajo. Estos pasos transfieren la responsabilidad de los compromisos ad hoc a los controles que se pueden verificar.

Además, los grupos de políticas públicas y estándares de la industria necesitan establecer expectativas. Los auditores, los oficiales de cumplimiento y los reguladores deben exigir salvaguardias de tiempo de ejecución verificables para categorías de cargas de trabajo que procesan datos regulados.

Estas reglas reducirán la cantidad de violaciones que ocurren más adelante y darán al sector la libertad de innovar sin preocuparse por problemas legales. Esto permitirá que los flujos de trabajo de finanzas, atención médica y sector público utilicen nuevos modelos sin obstáculos regulatorios.

La confidencialidad como estándar

El AI generativo se ha convertido en una herramienta útil para las empresas que tratan con información muy privada. Esa realidad significa que la ejecución confidencial ya no es solo una opción de nicho; debe ser una práctica estándar para cualquier sistema de AI que maneje datos regulados, propiedad o personales.

Ya hay herramientas disponibles, como los TEE, los servicios de autenticación y las ofertas de VM privadas, y la economía está mejorando muy rápidamente. La otra opción es mantener los activos sensibles abiertos a la fuga de inferencia, lo que podría tener efectos legales, financieros y de reputación que las empresas ya no pueden permitirse. Por ejemplo, según el informe de IBM de 2025 sobre el costo de la violación de datos, el costo promedio global de la violación alcanzó casi $5 millones, con regulaciones como el GDPR imponiendo multas de hasta €20 millones por violaciones graves.

Las empresas que priorizan la privacidad en la gobernanza del AI tendrán una ventaja: pueden ejecutar pruebas más exhaustivas y cumplir con las normas, y pueden utilizar modelos en áreas donde la innovación externa solía estar prohibida. En resumen, proteger los datos mientras los modelos se ejecutan no es una barrera para la adopción; es la base para un AI responsable y escalable en las empresas y el gobierno.

Related Topics:
mm

Ahmad Shadid es el fundador de O Foundation, un laboratorio de investigación de inteligencia artificial con sede en Suiza centrado en la construcción y la investigación de infraestructura de inteligencia artificial privada, o.capital, un fondo cuantitativo que opera en Nasdaq y el fundador y ex CEO de io.net, actualmente la red de infraestructura de cómputo de inteligencia artificial descentralizada basada en Solana más grande.