“Algunas personas no quieren que haya una respuesta regulatoria a esto y otras sí”, dijo Dean Ball, investigador sénior de la Fundación para la Innovación Estadounidense, quien anteriormente fue asesor de política tecnológica de la Casa Blanca y autor principal de la hoja de ruta política de IA de Trump el año pasado. “No me gustan las regulaciones”, dijo Ball. “Preferiría que las cosas no estuvieran reguladas. Pero creo que en este caso es necesario”.
Google afirma haber encontrado pruebas de que la IA ayudó en un ciberataque. Google afirmó haber detectado a un grupo de ciberdelincuentes de renombre planeando una operación a gran escala aprovechando una vulnerabilidad que habían descubierto.
Dicha vulnerabilidad les permitía eludir la autenticación de dos factores para acceder a una popular herramienta de administración de sistemas en línea, cuyo nombre Google prefirió no revelar.
La empresa lo denominó una vulnerabilidad de día cero, un ciberataque que aprovecha una vulnerabilidad de seguridad previamente desconocida.
El término "día cero" se refiere a que los ingenieros de seguridad no tuvieron tiempo para desarrollar una solución para dicha vulnerabilidad. Google afirmó haber notificado a la empresa afectada y a las autoridades, y haber logrado interrumpir la operación antes de que causara daños. Sin embargo, al rastrear la actividad de los hackers, descubrió que habían utilizado un modelo de lenguaje de IA a gran escala —la misma tecnología que impulsa los chatbots más populares— para descubrir la vulnerabilidad.
Google no reveló qué modelo de IA se utilizó en el ciberataque, solo que probablemente no fue Gemini, de Google, ni Claude Mythos, de Anthropic. Google tampoco reveló a qué grupo sospechaba del ataque, pero afirmó que no había pruebas de que estuviera vinculado a un gobierno adversario, aunque la compañía indicó que grupos vinculados a China y Corea del Norte han estado explorando técnicas similares. Hultquist afirmó que, en comparación con los espías gubernamentales, que suelen trabajar de forma lenta y discreta, los piratas informáticos criminales son quienes más se benefician de la "tremenda capacidad de velocidad" de la IA para encontrar y utilizar como armas las vulnerabilidades de seguridad.
“Hay una carrera contrarreloj entre ustedes y ellos para detenerlos antes de que puedan obtener los datos que necesitan para extorsionarlos o lanzar un ataque de ransomware”, dijo en una entrevista. “La IA será una gran ventaja porque les permite actuar mucho más rápido”.
El mito de Anthropic ha desatado el pánico y un llamado a la regulación. El Departamento de Comercio de Trump anunció la semana pasada la firma de nuevos acuerdos con Google, Microsoft y xAI, la empresa de Elon Musk, para evaluar sus modelos de IA más potentes antes de su lanzamiento público. Estos acuerdos se basan en los acuerdos previos que la administración Biden firmó con Anthropic y OpenAI, creadora de ChatGPT . Sin embargo, el anuncio desapareció posteriormente del sitio web del Departamento de Comercio.
Este fue el ejemplo más reciente de las señales contradictorias de la administración Trump en el mes transcurrido desde que Anthropic anunció un nuevo modelo llamado Mythos, que, según la compañía, era tan "sorprendentemente capaz" en trabajos de piratería informática y ciberseguridad que solo podía lanzarlo a un pequeño grupo de organizaciones de confianza. Anthropic creó una iniciativa llamada Proyecto Glasswing que reunió a gigantes tecnológicos como Amazon, Apple, Google y Microsoft, junto con otras compañías como JPMorgan Chase, con la esperanza de proteger el software crítico mundial de las graves consecuencias que el nuevo modelo podría acarrear para la seguridad pública, la seguridad nacional y la economía. Sin embargo, su relación con el gobierno estadounidense se complicó debido a una disputa pública y legal con el Pentágono y el propio Trump sobre el uso militar de su tecnología de IA. Su principal rival, OpenAI, ha presentado desde entonces un modelo similar.
La compañía anunció el viernes el lanzamiento de una versión especializada de ChatGPT para ciberseguridad, disponible únicamente para los responsables de la seguridad de infraestructuras críticas, con el fin de ayudarles a detectar y corregir vulnerabilidades en su código.
Ball afirmó ser optimista respecto a que, a largo plazo, las herramientas de IA, cada vez más eficientes en programación, nos protegerán mejor de los ciberataques habituales que afectan a hospitales, escuelas y otras organizaciones. Sin embargo, señaló que, mientras tanto, existen "incontables billones de líneas de código de software" que dan soporte a los sistemas informáticos mundiales y que corren riesgo si se utilizan herramientas de IA para explotar todas sus vulnerabilidades.
Podría llevar años reforzar la seguridad de todo ese software, un proceso que, según Ball, se vería facilitado por la coordinación del gobierno estadounidense. Mientras tanto, Ball predice un “período de transición” en el que los riesgos de ciberseguridad aumentarán significativamente y “el mundo podría ser realmente más peligroso”.
