Recientemente tuve la oportunidad de sentarme con Francis de Souza, director de operaciones de Google Cloud, entre bastidores en un evento en Los Ángeles. En medio del bullicio que nos rodea, de Souza, que habla con la calma y mesura de un profesor universitario, ofreció consejos útiles para las empresas que enfrentan el momento de seguridad de la IA que todos vivimos, afirmando que “habrá un período de transición, y luego creo que llegaremos a un mejor estado”.
No estaba hablando de Google en ese momento, pero estaba claro que Google todavía estaba resolviendo las cosas.
El mensaje central de De Souza es uno que los profesionales de la seguridad han estado tratando de que los ejecutivos internalicen durante años, y que ahora se ha vuelto urgente debido a la IA: la seguridad no puede ser una ocurrencia tardía. “A medida que las empresas se embarcan en este viaje hacia la IA, deben adoptar un enfoque de plataforma”, dijo. “La seguridad no es algo que puedas mejorar más adelante, y no es algo que puedas dejar que los empleados hagan por sí mismos”. Advirtió específicamente sobre la “IA en la sombra” (empleados que utilizan herramientas de consumo sin supervisión organizacional) y argumentó que las empresas deben exigir seguridad, gobernanza y auditabilidad de sus plataformas desde el principio. “No existe una estrategia de IA sin una estrategia de datos y una estrategia de seguridad. Esas dos cosas tienen que ir de la mano”.
Tenga en cuenta: no lanzó Google Cloud solo. Cuando observé que su consejo parecía un anuncio de Google, lo descartó. Google, dijo, está comprometido con un enfoque multinube, y señaló que las empresas que piensan que están operando en una sola nube casi con certeza no lo hacen. “Incluso si eligen una nube, dependen de aplicaciones SaaS, hay socios comerciales que pueden usar una nube diferente”, dijo. “Es importante que las empresas tengan una postura de seguridad coherente en todas las nubes y en todos los modelos”.
También afirmó que el panorama de amenazas ha cambiado tan radicalmente que los viejos modelos de defensa se han vuelto demasiado lentos. Señaló que el tiempo promedio entre la infracción inicial y el paso a la siguiente etapa del ataque ha disminuido de ocho horas a 22 segundos, y la superficie de ataque se ha expandido más allá de los límites de la red tradicional. “Además de las propiedades habituales, ahora tienes un modelo. Tienes un canal de datos que se utiliza para entrenar el modelo. Tienes agentes, tienes clientes potenciales. Todo esto necesita ser protegido”.
Una amenaza que De Souza señaló pero que recibió poca atención es: los agentes que se mueven a través de los sistemas internos de una empresa pueden sacar a la luz depósitos de datos olvidados en los que nadie ha pensado durante años. “Muchas organizaciones tienen servidores SharePoint (y controles de acceso) heredados que en realidad no se han actualizado, pero eso no es un problema porque nadie sabe realmente dónde están. Pero los agentes que rastrean su empresa encontrarán esos activos de datos y expondrán los datos que contienen”.
La respuesta, según él, es hacer coincidir la velocidad del motor con la velocidad del motor. “Ahora estamos viendo el surgimiento de una defensa totalmente agente basada en inteligencia artificial, donde las organizaciones pueden ejecutar agentes que impulsen su defensa”, dijo. “En lugar de tener una defensa dirigida por humanos o incluso un ser humano involucrado, ahora puedes tener un humano supervisando una defensa completamente agente”. Añadió que esto se ha convertido en una cuestión de liderazgo, no sólo una cuestión de tecnología. “Ésta es una cuestión a nivel de la junta directiva y del equipo ejecutivo. No es sólo una cuestión del equipo de seguridad”.
Pero incluso cuando la IA se hace cargo de las cargas de trabajo defensivas, la cantidad de personas calificadas para supervisarlas es extremadamente limitada, y las vulnerabilidades introducidas por la propia IA se están multiplicando más rápido de lo que los equipos de seguridad pueden abordarlas. “Vamos a necesitar personas que puedan manejar este desastre de errores”, dijo Lea Kissner, directora de seguridad de la información de LinkedIn. dijo al New York Times Esta semana, añadió que no espera que la industria comprenda la sostenibilidad a largo plazo de la seguridad de la IA hasta dentro de al menos varios años.
Esto nos lleva de nuevo a los propios proveedores de plataformas. The Register ha publicado una serie de informes en las últimas semanas que documentan una ola de desarrolladores de Google Cloud afectados por facturas de cinco cifras después de llamadas API no autorizadas a modelos Gemini, un servicio que muchos de ellos nunca habían usado ni habilitado intencionalmente. Los casos siguen un patrón común: las claves API utilizadas originalmente para Google Maps, colocadas públicamente según las propias instrucciones de Google, pudieron acceder en secreto a Gemini después de que Google amplió su alcance sin revelar claramente los cambios.
Rod Danan, director ejecutivo de la plataforma de preparación de entrevistas Prentus, dijo que el proyecto de ley fue un éxito. $10,138 en unos 30 minutos después de que un atacante explotara su clave API comprometida. A Isuru Fonseka, un desarrollador con sede en Sydney cuya cuenta también se vio comprometida, se le cobraron alrededor de 17.000 dólares australianos a pesar de que creía que tenía un límite de gasto de 250 dólares. Lo que ninguno de los dos sabía era que el sistema automatizado de Google había aumentado las tarifas de facturación basándose en el historial de la cuenta, aumentando el límite efectivo a 100.000 dólares sin permiso explícito.
Google reembolsó ambos después de que The Register publicara su informe inicial. Sin embargo, Google dijo a The Register que no tiene planes de cambiar su política de actualización automática de tarifas, diciendo que prioriza prevenir interrupciones del servicio sobre hacer cumplir las preferencias presupuestarias establecidas por el usuario.
Mientras tanto, hay una pregunta aparte sobre qué sucede cuando los desarrolladores intentan desactivarlo. Lista reportado esta semana basado en una investigación realizada por la empresa de seguridad Aikido que encontró que incluso los desarrolladores que detectan claves comprometidas y las eliminan inmediatamente pueden no estar seguros. Según los hallazgos de Aikido, los atacantes aparentemente pudieron continuar usando la clave durante hasta 23 minutos a medida que la revocación de Google se extendía gradualmente por su infraestructura. El investigador de Aikido Joseph Leon dijo a The Register que durante ese período, las tasas de éxito eran impredecibles (en cuestión de minutos, más del 90% de las solicitudes todavía estaban autenticadas) y los atacantes podían usar ese tiempo para exfiltrar archivos y almacenar datos de conversaciones de Gemini.
Leon también señaló que el formato de credencial más nuevo de Google no parece tener el mismo problema: las credenciales API de la cuenta de servicio se revocan en unos cinco segundos, y el formato de clave más nuevo de Gemini con el prefijo AQ tarda aproximadamente un minuto. “Ambos se ejecutan a escala de Google”, escribió en un artículo relacionado con el Aikido. “Ambos sugieren que esto también se puede resolver técnicamente para las claves API de Google”. En definitiva, según León, el plazo de 23 minutos no es un obstáculo técnico, sino una cuestión prioritaria para la empresa.
Vale la pena considerar esto al leer el consejo de De Souza, que tiene sentido y debe tomarse muy en serio. No se equivoca, pero actualmente existe una brecha entre lo que prescriben las plataformas y la rapidez con la que se adaptan, y es bueno ser consciente de ello también.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
