por Tomas Chamorro-Premuzic
Los pros y los contras de confiar en la inteligencia artificial para eliminar el riesgo del comportamiento humano.
• • •
Se espera que el impacto de la ciberdelincuencia llegue 10 billones de dólares este año, superando el PIB de todos los países del mundo excepto EE. UU. y China. Además, se estima que la cifra aumentará hasta casi 24 billones de $ en los próximos cuatro años.
Aunque los piratas informáticos sofisticados y los ciberataques impulsados por la IA tienden a acaparar los titulares, una cosa está clara: la mayor amenaza son los errores humanos, que explican más del 80% de incidentes. Esto, a pesar del aumento exponencial de la ciberformación organizacional durante el década pasada y una mayor concienciación y mitigación de riesgos en las empresas e industrias.
¿Podría la IA venir al rescate? Es decir, ¿podría la inteligencia artificial ser la herramienta que ayude a las empresas a controlar la negligencia humana? Y si es así, ¿cuáles son las ventajas y las desventajas de confiar en la inteligencia artificial para reducir el riesgo del comportamiento humano?
Como era de esperar, actualmente hay mucho interés en Ciberseguridad impulsada por la IA, con estimaciones que sugieren que el mercado de herramientas de ciberseguridad de IA pasará de solo 4 000 millones de $ en 2017 a casi 35 000 millones de dólares en 2025. Estas herramientas suelen incluir el uso de aprendizaje automático, aprendizaje profundo, y procesamiento del lenguaje natural para reducir las actividades malintencionadas y detectar ciberanomalías, fraudes o intrusiones. La mayoría de estas herramientas se centran en exponer los cambios de patrón en los datos ecosistemas, como los activos de la nube empresarial, la plataforma y el almacén de datos, con un nivel de sensibilidad y granularidad que normalmente no se les ocurre a los observadores humanos.
Por ejemplo, los algoritmos de aprendizaje automático supervisados pueden clasificar los ataques de correo electrónico malignos con 98% de precisión, detectar funciones «parecidas» según la clasificación o la codificación humanas, mientras que el reconocimiento por aprendizaje profundo de la intrusión en la red ha logrado Precisión del 99,9%. En cuanto al procesamiento del lenguaje natural, ha demostrado altos niveles de fiabilidad y precisión a la hora de detectar la actividad de suplantación de identidad y el malware a través de extracción de palabras clave en los dominios y mensajes de correo electrónico donde la intuición humana suele fallar.
Sin embargo, como han señalado los estudiosos, confiar en la IA para proteger a las empresas de los ciberataques es un» espada de doble filo.» Lo más notable es que, programas de investigación que el simple hecho de inyectar un 8% de datos de entrenamiento «venenosos» o erróneos puede reducir la precisión de la IA un 75%, lo que no es diferente a cómo los usuarios corrompen las interfaces de usuario conversacionales o idioma extenso modelos por inyección sexista preferencias o racista idioma en los datos de entrenamiento. Como suele decir ChatGPT: «Como modelo lingüístico, soy tan preciso como la información que recibo», lo que crea un juego perenne del gato y el ratón en el que la IA debe desaprender tan rápido y con tanta frecuencia como aprende. De hecho, la fiabilidad y la precisión de la IA para prevenir ataques pasados suelen ser un indicador débil de los ataques futuros.
Además, confíe en la IA tiende a resultar en las personas que delegan tareas no deseadas a la IA sin comprensión ni supervisión, especialmente cuando la IA no es explicable (lo que, paradójicamente, a menudo coexiste con el más alto nivel de precisión). Terminado-la confianza en la IA es bien documentado, especialmente cuando las personas tienen poco tiempo y, a menudo, conduce a una difusión de la responsabilidad en los seres humanos, lo que aumenta su comportamiento negligente e imprudente. Como resultado, en lugar de mejorar la tan necesaria colaboración entre la inteligencia humana y la artificial, la consecuencia no deseada es que la segunda acaba diluyendo la primera.
Como digo en mi último libro, Yo, el ser humano: la IA, la automatización y la búsqueda de recuperar lo que nos hace únicos, parece haber una tendencia general a la que los avances en la IA son bien recibidos como excusa para nuestro propio estancamiento intelectual. La ciberseguridad no es la excepción, en el sentido de que nos complace dar la bienvenida a los avances de la tecnología para protegernos de nuestro propio comportamiento negligente o imprudente, y estar «libres», ya que podemos echar la culpa del error humano al de la IA. Sin duda, este no es un resultado feliz para las empresas, por lo que la necesidad de educar, alertar, capacitar y gestionar el comportamiento humano sigue siendo tan importante como siempre, si no más.
Es importante destacar que las organizaciones deben seguir esforzándose para aumentar concienciación de los empleados del panorama de riesgos en constante cambio, que no hará más que crecer en complejidad e incertidumbre debido a la creciente adopción y penetración de la IA, tanto en el lado ofensivo como en el defensivo. Si bien puede que nunca sea posible extinguir por completo los riesgos o eliminar las amenazas, el aspecto más importante de la confianza no es si confiamos en la IA o en los humanos, sino si confiamos en una empresa, marca o plataforma antes que en otra. Esto no requiere un lo uno o lo otro elegir entre confiar en la inteligencia humana o artificial para mantener a las empresas a salvo de los ataques, o por una cultura que consiga aprovechar tanto las innovaciones tecnológicas como la experiencia humana con la esperanza de ser menos vulnerable que otras.
En última instancia, se trata de una cuestión de liderazgo: tener no solo el derecho experiencia o competencia técnica, pero también el perfil de seguridad adecuado en la cúspide de la organización y, en particular, en tablas. Como lo han hecho los estudios mostrado durante décadas, las organizaciones dirigidas por líderes concienzudos, conscientes de los riesgos y éticos tienen muchas más probabilidades de ofrecer una cultura y un clima de seguridad a sus empleados, en los que los riesgos sigan siendo posibles, pero menos probables. Sin duda, se puede esperar que esas empresas aprovechen la IA para mantener sus organizaciones seguras, pero también es su capacidad de educar a los trabajadores y mejorar hábitos humanos eso los hará menos vulnerables a los ataques y la negligencia. Como acertadamente Samuel Johnson anotado, mucho antes de que la ciberseguridad se convirtiera en motivo de preocupación, «las cadenas de hábitos son demasiado débiles para sentirlas hasta que son demasiado fuertes como para romperlas».
_