Tabla de contenidos
Geekzillo, actualmente la Inteligencia Artificial Generativa se ha convertido en un pilar fundamental para innovaciones únicas en tecnología para todos los sectores. Sin embargo, también puede haber un peligro detrás de todos sus beneficios. Por eso, Varonis no comparte cómo Copilot e IA generativa pueden llevar a exposición de datos puede llevar a deep fakes corporativos. Conoce todos los detalles a continuación.
Exposición de datos: los posibles peligros de Copilot e IA generativa
Recientemente, Microsoft anunció el lanzamiento de Copilot, un asistente de Inteligencia Artificial destinado a ayudar a los usuarios a obtener más agilidad en el uso de la suite Microsoft 365. La solución, de acuerdo con analistas, tiene el potencial de causar un considerable cambio en el trabajo administrativo con la automatización de tareas que van de la respuesta a un email a una propuesta comercial. El problema, sin embargo, está en el acceso a los datos y en el potencial del uso de la propia IA para invasiones cada vez más sofisticadas.
Para que la IA generativa de Microsoft funcione cumpliendo su promesa, es necesario que la herramienta acceda a todos los datos generados por los usuarios en el 365 – de esta manera, las informaciones pueden ser buscadas y compiladas para la generación de insights, respuestas, etc. Considerando que cerca de un 10% de las informaciones de una empresa está abierta a todos los empleados, tenemos aquí dos ingredientes que pueden ocasionar una ruptura en la seguridad a un nivel no visto anteriormente: el envenenamiento del modelo de la IA , el suministro de datos equivocados (un fenómeno que se ha denominado alucinación) y la creación de deep fakes para ingeniería social, con una capacidad inédita de extracción de datos – tanto del propio sistema, como del usuario.
Cómo funciona el modelo de seguridad de Microsoft 365 Copilot | IA generativa y exposición de datos
Lógicamente, todo lo que involucra la seguridad con relación a los productos Microsoft es un punto de preocupación. Y no es porque el sistema es falible: es la suite de productos de oficina más usada en el mundo. Consecuentemente, es uno de los sistemas que más sufre con potenciales ataques de cibercriminales. Existen puntos positivos y negativos con relación a la seguridad de Copilot.
Uno de los puntos positivos es que el modelo de la IA va a trabajar con datos del propio tenant de la empresa. Esto significa que, al usar Copilot, la IA va a aprender solamente con los datos de la empresa – y no va a cruzar datos de otros tenants. El otro punto importante en seguridad es que Copilot no usa ningún dato de negocio para entrenar la IA – o sea, informaciones más estratégicas están protegidas.
En compensación, existen algunas cuestiones que preocupan. Por ejemplo, la autorización. Copilot logra observar todos los datos de la organización como mínimo con la autorización de lectura. Otro punto es que Copilot, al generar nuevos datos a partir de los ya existentes no usa las etiquetas MPIP creadas anteriormente. Esto es un punto complicado: MPIP (Microsoft Information Protection, en la sigla en inglés), es la solución de Microsoft para la protección de datos confidenciales, incorporada en la solución 365.
Por último – y este es un problema recurrente en la IA – no se puede garantizar que el dato generado es 100% factual o seguro. Al final, el trabajo de chequeo debe hacerlo un humano.
Cómo contornar estos problemas
La cuestión de la autorización es un punto sensible en los productos Microsoft. Hoy, el exceso de autorizaciones por usuario es uno de los principales problemas enfrentados por las empresas. En una escala masiva, es casi imposible gestionar autorizaciones de manera adecuada sin herramientas de terceros. Lo ideal sería que las empresas lograran imponerle el menor privilegio posible a Copilot.
En el tema de las etiquetas MPIP, Microsoft depende mucho de esa información para imponer políticas de DLP, aplicar encriptados y prevenir ampliamente los filtrados de datos. En la práctica, sin embargo, hacer que las etiquetas funcionen es difícil, especialmente si uno depende de humanos para aplicar estas etiquetas.
Bloquear o encriptar datos puede agregarles fricción a los flujos de trabajo, y las tecnologías de etiquetado quedan limitadas a tipos de archivos específicos. Cuanto más etiquetas tenga una organización, más confuso podrá volverse tal sistema para los usuarios. Ahora, imagínense este problema a larga escala.
La eficiencia de la protección de datos basada en etiquetas seguramente disminuirá cuando tengamos IA generando muchos más datos que exigen etiquetas precisas y con actualización automática.
O sea: es fundamental tener una noción de la postura de seguridad de datos antes de la implementación de Copilot. Con o sin Inteligencia Artificial, es necesario asegurar que las informaciones que transitan por Microsoft 365 estén seguras – de lo contrario, la IA será solo una herramienta más en manos de delincuentes – que lograrán hacer sus ataques cada vez más sofisticados y creíbles.
También te puede interesar: Moody’s y Microsoft desarrollan soluciones mejoradas impulsadas por IA generativa
Y tú, geekzillo, ¿cómo ha transformado esta tecnología tu vida? ¿Qué opinas de los riesgos de exposición de datos que traen Copilot y la IA generativa? ¿Te gustaría conocer más detalles sobre los Deep fakes corporativos? No olvides que puedes compartirnos tus opiniones en los comentarios.
Por último, puedes seguir la pista de esta y más noticias en T3 Latam, TechRadar México. Además de nuestros podcasts con Oye 89.7: Top Tech y Top Gaming en Spotify.
