El panorama de la seguridad evoluciona constantemente con la aparición periódica de nuevas amenazas y vectores de ataque. Sin embargo, el problema principal sigue siendo la motivación humana que impulsa las actividades maliciosas, ya sea por motivos económicos, ideológicos o incluso de ego. Ahora, la Inteligencia Artificial (IA) Generativa se ha convertido en la nueva herramienta que hace más eficaces los ataques, explicó Steve Schmidt, director de seguridad de Amazon.

El directivo reconoció el impacto de doble filo de la IA Generativa, que aumenta la eficiencia tanto para los atacantes como para los defensores. Mientras que la IA puede automatizar el phishing y otros ataques, AWS construye defensas basadas en Inteligencia Artificial para detectar y detener las amenazas.

“La IA Generativa está cambiando el funcionamiento de la seguridad, tanto para los atacantes como para los defensores. Está haciendo que ambas partes sean más eficientes en lo que hacen”, aseguró en conversación con medios durante el pasado re:Inforce 2024.

Por ejemplo, la IA Generativa está ayudando a los atacantes a ser más eficientes en completar ciertos ataques, como puede ser phishing para el robo de identidad a través de correos electrónicos falsos más convincentes, y que puede terminar en un ataque de ransomware.

Relacionado: IA vs. IA: cómo puede ser una herramienta de defensa, pero también una amenaza

Pero, por otro lado, también puede ayudar a la defensa, ya sea con un rápido procesamiento de grandes volúmenes de datos para identificar amenazas o vulnerabilidades, o en la detección más eficiente de palabras o frases que son usualmente generadas por modelos de IA y que permitirían identificar que un correo electrónico se trata de un bot.

Ante este panorama, consideró que las empresas deben adoptar y desarrollar también nuevos mecanismos que les permitan defenderse mejor de las nuevas herramientas utilizadas por los atacantes.

Al respecto, AWS demostró sus avances en soluciones de defensa, como la identificación multifactorial basada en hardware, que supera la efectividad de otros métodos como códigos por SMS o correo electrónico; o su solución IAM, que ayuda a las empresas a identificar vulnerabilidades en sus soluciones de acceso y que está ahora impulsada por técnicas como razonamiento automático.

“Es uno de esos constantes juegos de ponerse al día, que tenemos que jugar para asegurarnos de que disponemos de las herramientas, técnicas y capacidades adecuadas”, señaló Schmidt.

“Cada vez que hay una oportunidad de mejorar la seguridad, examinamos problemas muy concretos”, dijo. “Las recientes brechas de alto perfil se derivaron de la falta de autenticación multifactor, destacando la necesidad de un enfoque holístico de defensa en profundidad donde todos se sientan responsables de la seguridad total del sistema”.

En cuanto a las industrias que podrían verse más afectadas en los próximos años, Schmidt apuntó que el segmento de logística —marítima y ferroviaria— ha registrado cambios importantes respecto a su seguridad, al considerar el surgimiento de conflictos geopolíticos, como la guerra entre Rusia y Ucrania.

Adicionalmente, señaló que aún existen otras industrias o empresas más pequeñas o con presupuesto limitado que ahora requieren una ayuda adicional para implementar nuevas medidas de seguridad, como hospitales o gobiernos municipales, que pudieran carecer de la capacitación o presupuesto requeridos. 

“Por lo tanto, encontrar formas de protegerlos de forma eficaz consiste en integrarlos en un lugar donde puedan funcionar de forma segura desde el principio y no tengan que intentar hacer las cosas por sí mismos cuando no conocen las habilidades”, agregó.

Ausencia de talento

Al igual que el resto de la industria, Schmidt alertó también por la falta de talento en el segmento de seguridad. Para AWS, esto significa que debe ser más eficiente en el uso de talento disponible con nuevas herramientas, y para las empresas, que deben buscar estas habilidades a través de socios.

El directivo señaló que pese al creciente número de amenazas, Amazon no planea añadir más personal de seguridad para sus operaciones; inicialmente, porque el talento disponible es muy pequeño, por lo que el objetivo es usarlo de forma más eficiente con nuevas herramientas.

“Las computadoras son muy buenas diciendo esto es un sí o esto es un no. Pero cuando se trata de un ‘no sé’, y está en el medio, es cuando se necesitan seres humanos inteligentes y con talento. Así que construiremos herramientas que ayuden a centrar a esos seres humanos en lo que mejor saben hacer, que es tomar esas decisiones ambiguas”, dijo.

También lee: Falta de especialistas en ciberseguridad causa daños a empresas y gobiernos

Para las empresas, recomendó la búsqueda de socios que les permitan adquirir las habilidades requeridas para asegurar sus operaciones. Por ejemplo, en el caso de soluciones para identidad, mencionó a Octa, Ping, o Crowdstrike.

“Así que tenemos una serie de diferentes opciones de socios que pueden ayudar a los clientes a llenar ese vacío de habilidades y darles la capacidad de ejecutar una pila de identidad, porque es realmente complicado. Es difícil hacerlo bien. Y es fácil hacerlo mal. Es una de las decisiones más importantes que una empresa puede hacer, sobre todo porque el robo de identidad sigue siendo el riesgo número uno para el ransomware”, dijo Schmidt.

Por otro lado, para atender este reto, la compañía también ofrece constantes cursos de capacitación, tanto para sus empleados como para sus clientes. re:Inforce surgió precisamente como un evento de entrenamiento, con talleres específicos que se realizan a petición de los usuarios de AWS.

Dar opciones a los clientes

El ejecutivo enfatizó el enfoque de Amazon en empoderar a los clientes con servicios seguros por defecto y opciones informadas, por ejemplo, hacer que el almacenamiento de su instancia Amazon S3 sea privado a menos que se configure explícitamente para acceso público. “Se trata de construir bien la seguridad desde el principio, guiar a los clientes y garantizar que permanezcan seguros a lo largo del tiempo”, añadió.

Este enfoque se observa también en la comercialización de sus productos y servicios. En primer lugar, se ofrece a los consumidores el mínimo que deben tener integrado para asegurar sus operaciones sin costo adicional, como firewalls en EC2; y segundo, otras características se ofrecerán por un costo adicional, ya sea porque son más caras de operar o porque no es necesario para todas las operaciones, como Verbose Logging requerido por bancos, pero no por estudiantes.

“Damos a los clientes la posibilidad de elegir. Estas son las cosas que creemos que debes de tener y las incorporamos. Aquí están las cosas que son apropiadas para tus cargas de trabajo, pero tienes la opción de elegirlas y utilizarlas o no. Y también da a los clientes la opción de utilizar nuestras herramientas o utilizar otras herramientas”, explicó el directivo.

Este enfoque se extiende también a través de diferentes geografías, de modo que las empresas pueden elegir qué tipo de características requieren para cumplir con la regulación particular de sus países, desde dónde almacenar sus datos hasta su encriptación.

Filadelfia, Estados Unidos.- Conforme la Inteligencia Artificial (IA) se integra rápidamente en múltiples productos y soluciones para acelerar la productividad, AWS (Amazon Web Services) busca asegurarse de que esta tecnología pueda ser utilizada con responsabilidad, mediante una estrategia que atienda sus principales riesgos, desde la introducción de sesgos en el modelo, hasta potenciales usos malintencionados.

En el evento AWS re:Inforce 2024, en Filadelfia, Diya Wynn, líder para IA responsable, detalló la estrategia de Amazon para atender los riesgos de la nueva tecnología en cuatro puntos: enfoque centrado en la gente, integrar la responsabilidad de IA en todo el ciclo de desarrollo para asegurarnos que todos participen, ayudar a los clientes a adoptar las mejoras prácticas y operacionalizarlas, y apoyar el avance de la ciencia de IA responsable.

Esta estrategia busca atender los principales riesgos identificados alrededor del uso de la IA, tales como mantener la fidelidad de la información, la posible generación de toxicidad y el respeto del uso de propiedad intelectual, así como su impacto en general. Aunque consideró que aún existen riesgos no contemplados por el momento que podrían surgir conforme avanza la tecnología, y la IA se involucra más en la toma de decisiones.

Al establecer una estrategia para atender los riesgos de IA, las empresas podrían también atender posibles riesgos para su propio negocio, como daño reputacional, baja de confianza del cliente, pérdida de ingresos, infracciones regulatorias y consecuencias criminales. “Ejecutar responsablemente la IA es bueno para el negocio porque le ayudará a mitigar los riesgos”, añadió.

La directiva consideró que en el caso de AWS, y de cualquier otra compañía, el aspecto clave es que exista un compromiso del liderazgo, de modo que se pueda ejecutar desde arriba hacia todas las áreas del negocio.

Parte de esta estrategia de AWS incluye la capacitación continua de sus colaboradores, así como brindar herramientas de educación que permitan entender a las personas el impacto de la IA. Se refirió al programa de educación en Nube de AWS para preparar a 29 millones de personas, que incluiría capacidades en IA.

Regulación de IA

Respecto a la posible regulación sobre IA, Wynn se mostró positiva a una reglamentación que permita innovar, implementar medidas de seguridad y así servir mejor a sus clientes. Sin embargo, alertó que el enfoque actual en que comienzan a surgir múltiples leyes estatales podría dificultar el cumplimiento de la ley para las compañías más pequeñas o las startups.

Apuntó que hay segmentos donde se requiere la ley y el rol del gobierno para dar estructura y definiciones sobre aquello que es ilegal. Sin embargo, también consideró que estas no deben ser restrictivas al punto de limitar oportunidades, por ejemplo, el uso de IA para generar imágenes que puede tener múltiples casos de uso positivos, aunque también pueda tener un impacto negativo.

Al respecto, se pueden implementar otras medidas, como limitar ciertos casos de uso específicos, por ejemplo, el usar la imagen de personalidades; o algunas tecnológicas, como impulsar la integración de marcas de agua que permitan identificar que una imagen se generó por IA.

Celebró los esfuerzos de la industria para establecer estándares y medidas que permitan un uso adecuado de la IA, por lo que no están simplemente esperando la emisión de una ley para asumir su responsabilidad en el desarrollo de esta tecnología.

IA Constitucional

Durante el evento también estuvo presente la compañía de IA Anthropic, fundada por antiguos empleados de OpenAI, que enfocaron la empresa en impulsar la integración de medidas de seguridad en modelos de IA ante los riesgos sociales y geopolíticos de la tecnología. Sobre esto, Larkin Ryder, directora de cumplimiento normativo, dijo que la compañía trabaja en hacer los modelos seguros al entender cómo trabajan y cómo razonan, para dirigirlos y alinearlos con los valores humanos.

Por ejemplo, los modelos han sido entrenados en ética, así como con datos de la Declaración Universal de los Derechos Humanos de la Organización de las Naciones Unidas (ONU), para mitigar el uso indebido de los modelos.

También lee: Europa adopta Ley de IA y define acciones en materia de ciberseguridad

Anthropic introdujo el concepto de IA Constitucional, un sistema basado en principios para juzgar los resultados de la IA. Esta constitución guía al modelo para que adopte el comportamiento normativo, por ejemplo, ayudar a evitar resultados tóxicos o discriminatorios, evitar ayudar a un humano a participar en actividades ilegales o poco éticas y, en general, crear un sistema de IA que sea útil, honesto e inofensivo.

La principal ventaja de este modelo es que permite generar escala para la evaluación de modelos de IA cada vez más grandes, reduciendo la participación de humanos en el proceso y acelerando su desarrollo.

Mejores prácticas

Entre las mejores prácticas recomendadas por la compañía se incluyen: la controlabilidad, que guíe y controle los resultados de la IA, con mecanismos para monitorear y dirigir su comportamiento; privacidad y seguridad para proteger, usar, obtener de forma responsable datos y modelos; protección para evitar que la IA Generativa pueda crear resultados peligrosos o tóxicos; equidad, que considere impactos en diferentes grupos y personas de interés.

También recomienda incluir veracidad y robustez, por ejemplo, contar con una verificación humana antes de ser publicado; considerar técnicas de explicabilidad para entender y evaluar resultados; con transparencia, para permitir que el usuario sea consciente de los límites de la tecnología; y gobernanza, con guías claras y marcos para el desarrollo responsable y uso de los sistemas de IA, incluyendo estándares industriales, regulación y códigos.

Filadelfia, Estados Unidos.- “Construir y mantener una cultura requiere constante inversión en enfoque. Una cultura de seguridad no es construida de la noche a la mañana, puede perderse sin reforzamiento e inversión consistentes. Requiere esfuerzos intencionados y dedicados para crecer, evolucionar y mantener una cultura enfocada en la seguridad como nuestra principal prioridad”, declaró Chris Betz, director de información y seguridad (CISO) de Amazon Web Services (AWS) durante su presentación inicial.

Durante el evento dedicado a seguridad de AWS, re:Inforce 2024, Betz destacó que uno de los principales diferenciadores de Amazon se basa en su foco para generar una cultura en la organización dedicada a mantener la seguridad, lo que ha permitido generar fortalezas como procesos para rendición de cuentas entre empleados, resolución rápida de los incidentes al escalar con velocidad las alertas al responsable adecuado, y un sentido de propiedad entre los empleados para asumir responsabilidades de seguridad.

Lo anterior se complementa también mediante guías y procesos, además del concepto de una cultura descentralizada, en el que la seguridad no está únicamente a cargo de directivos o especialistas de seguridad, sino que se involucra a todos los niveles y empleados de la empresa. Para ello, Amazon también ofrece capacitación constante en seguridad, acorde a la posición de cada empleado.

Relacionado: La ciberseguridad no es un software, es una cultura: Siemens

“Tener las mejores intenciones no es suficiente, la cultura es la raíz de todo. La cultura es la que permite generar nuevos hábitos en la organización para mejorar la seguridad, es la cultura que diseña sistemas con seguridad, y es la que nos empodera para enseñar a individuos”, reiteró Betz.

Steve Schmidt, director de seguridad de Amazon (CSO), coincidió en que la cultura de la empresa y un modelo distribuido son herramientas claves y necesarias. Consideró también que aunque existen guías fundamentales de seguridad basados en nuevas tecnologías, estas no han sido tan ampliamente adaptadas como se esperaría y resultan en múltiples incidentes. Por ejemplo, el uso de autenticación multifactorial.

Por otro lado, reconoció el reto que significa la rápida evolución de la Inteligencia Artificial (IA) Generativa para las tareas de seguridad, por lo que Amazon adoptó un marco que le permitiría a la organización adaptar su cultura de seguridad. Si bien advirtió que ya es difícil encontrar talento para seguridad o IA, es aún más difícil encontrarlo en la intersección de ambos.

Para atender los retos alrededor de IA, Schmidt relató la experiencia de Amazon que estableció un equipo dedicado a la seguridad de IA, con vallas de seguridad bien definidas que ayuden al resto de la compañía a innovar rápidamente en un ambiente seguro. “Este equipo no es un guardián, son el camino a la producción. Este equipo trabaja tanto en conectar a la gente y recursos a través de la compañía, como estableciendo los casos de uso y herramientas para ayudar a los desarrolladores”, explicó.

AWS: nueva tecnología y soluciones

Chris Betz se refirió también a las fortalezas integradas en su tecnología, como la seguridad por diseño incluida en su más reciente chip Graviton4, que encripta todas las interfaces físicas y añade profundidad de defensa contra posibles ataques, así como la eliminación de Simultaneous Multi-threading, lo que permite mejorar el aislamiento entre vCPUs, reduciendo la contención y mejorando el rendimiento del sistema. Graviton 4 fue presentado oficialmente durante el re:Invent en Las Vegas de 2023.

Entre las novedades presentadas por la compañía durante el re:Inforce, se incluyen soluciones que permitirán atender los nuevos retos a los que se enfrentan las empresas de todo el mundo, tales como la administración de acceso e identidad, ambientes híbridos, segmentación de redes complejas, y la expansión de la movilidad de los trabajadores. Irónicamente, según palabras de Betz, la mejor manera de construir confianza es a través de la adopción de arquitecturas Zero Trust.

El primer anuncio se trata de AWS Private CA Connector, que facilitará a las empresas la aplicación de un protocolo de enrolamiento para integrar dispositivos móviles de forma segura y a escala. Esto es relevante cuando se tienen múltiples empleados que buscan utilizar sus propios dispositivos para acceder a los sistemas de la empresa.

En cuanto a sistemas de autenticación de personal, AWS anunció antes este año el lanzamiento de autenticación multifactorial, a lo que ahora se suma la posibilidad de usar Passkeys como un segundo factor de autenticación. Esta solución permitiría a los usuarios utilizar sus propias aplicaciones de autenticación para generar códigos de un único uso.

Adicionalmente, ahora los clientes de AWS podrán acceder a IAM Access Analyzer, que básicamente permitirá a las empresas analizar y establecer permisos de accesos, incluyendo eliminar los que no hayan sido utilizados.

Respecto a sus servicios de almacenamiento S3, AWS reveló actualizaciones para Amazon GuardDuty Malware Protection, que permite detectar cargas de archivos maliciosos en determinados buckets de S3. La nueva funcionalidad ahora puede evaluar continuamente los nuevos objetos cargados en los buckets S3 en busca de malware y tomar medidas para aislar o eliminar cualquier malware encontrado.

La compañía, además, ya ha comenzado a introducir nuevas capacidades de IA Generativa a sus soluciones y productos. En este caso, para facilitar el análisis de eventos de actividad en AWS, introdujo la generación de consultas en lenguaje natural con IA Generativa en AWS CloudTrail Lake, actualmente en vista previa.

También lee: El nuevo reto de Cisco: proteger y aprovechar datos para la IA

Esta nueva capacidad permitirá hacer preguntas en un lenguaje sencillo sobre la API de AWS y la actividad de los usuarios, por ejemplo: “¿Cuántos errores se registraron durante la semana pasada para cada servicio y cuál fue la causa de cada error?” o “Muéstrame todos los usuarios que iniciaron sesión mediante la consola ayer”, con lo que AWS CloudTrail generará una consulta SQL.

Entre otras características que han sido utilizadas para mejorar la seguridad de los datos en AWS, se incluye el lenguaje de programación Rust, para facilitar el desarrollo de software para infraestructura de forma segura. El lenguaje ahora puede acceder a la librería AWS Libcrypto, que ofrece soporte para FIPS (estándares federales de procesamiento de la información), además de soporte experimental para criptografía post-cuántica.

Durante su presentación, Betz señaló que actualmente uno de sus principales clientes es Telefónica O2, operador de telecomunicaciones que eligió AWS para la instalación de su red 5G Core. El uso de AWS le ha permitido al operador contar con una red de mayor seguridad, pero que al mismo tiempo le da flexibilidad, escalabilidad y mejor desempeño.

Razonamiento automático

AWS ha ampliado su investigación alrededor del razonamiento automático o automated reasoning, un área de las ciencias de la computación para la creación de programas que permitan a las computadoras seguir un camino de razonamiento y responder preguntas de una manera sencilla sobre el estado de ciertos sistemas y soluciones. El uso de esta técnica permitiría rápidamente encontrar vulnerabilidades en los sistemas de seguridad y acelerar los procesos de pruebas.

Según Betz, la compañía ha ampliado el uso de razonamiento automático para realizar pruebas de seguridad alrededor de algunos sistemas, como verificar protocolos de encriptación, lógica de autorización, y consistencia de sistemas de almacenamiento, además de otros mecanismos como firewalls, detección y prácticas de codificación.

Sin embargo, la compañía también admite que es un área compleja en donde la comunidad de expertos es sumamente pequeña, por lo que ha implementado esfuerzos para atraer talento y financiar investigación.

En particular, AWS ha usado el razonamiento automático para herramientas de control de acceso, que se realizan a través del lenguaje de programación abierto Cedar. Betz destacó que ya hay al menos seis startups que han usado Cedar para desarrollar sus propias aplicaciones.