El Departamento del Tesoro de Estados Unidos ha advertido sobre los riesgos de ciberseguridad que plantea la IA para el sector financiero.
El informe, que fue escrito bajo la dirección de la Orden Ejecutiva Presidencial 14110 sobre el Desarrollo y uso seguro y confiable de la inteligencia artificialTambién establece una serie de recomendaciones para las entidades financieras sobre cómo mitigar dichos riesgos.
Amenazas cibernéticas basadas en IA para el sector financiero
Las empresas de servicios financieros y relacionadas con la tecnología entrevistadas en el informe reconocieron la amenaza que representan las herramientas avanzadas de IA, como la IA generativa, y algunas creen que inicialmente darán a los actores de amenazas la “ventaja”.
Esto se debe a que dichas tecnologías mejoran la sofisticación de ataques como el malware y la ingeniería social, además de reducir las barreras de entrada para atacantes menos capacitados.
Otras formas en que los actores de amenazas cibernéticas pueden utilizar la IA para atacar los sistemas financieros destacadas fueron el descubrimiento de vulnerabilidades y la desinformación, incluido el uso de deepfakes para hacerse pasar por personas como directores ejecutivos para defraudar a las empresas.
El informe reconoció que las instituciones financieras han utilizado sistemas de inteligencia artificial para respaldar sus operaciones durante varios años, incluso en materia de ciberseguridad y medidas antifraude. Sin embargo, algunas de las instituciones incluidas en el estudio informaron que los marcos de gestión de riesgos existentes pueden no ser adecuados para cubrir tecnologías de IA emergentes como la IA generativa.
Varios de los entrevistados dijeron que están prestando atención a las ciberamenazas únicas a los sistemas de inteligencia artificial utilizados en las organizaciones financieras, que podrían ser un objetivo particular para los actores de amenazas internas.
Estos incluyen ataques de envenenamiento de datos, cuyo objetivo es corromper los datos de entrenamiento del modelo de IA.
Otra preocupación con las soluciones internas de IA identificadas en el informe es que los requisitos de recursos de los sistemas de IA generalmente aumentarán la dependencia directa e indirecta de las instituciones de la infraestructura y los datos de TI de terceros.
Según los entrevistados, factores como la forma en que se recopilaron y manejaron los datos de capacitación podrían exponer a las organizaciones financieras a riesgos financieros, legales y de seguridad adicionales.
Cómo gestionar los riesgos de ciberseguridad específicos de la IA
El Tesoro proporcionó una serie de medidas que las organizaciones financieras pueden tomar para abordar los desafíos inmediatos de riesgo operativo, ciberseguridad y fraude relacionados con la IA:
- Utilice las regulaciones aplicables. Si bien es posible que las leyes, reglamentos y orientaciones existentes no aborden expresamente la IA, los principios contenidos en algunas de ellas pueden aplicarse al uso de la IA en los servicios financieros. Esto incluye regulaciones relacionadas con la gestión de riesgos.
- Mejorar el intercambio de datos para crear modelos de IA antifraude. A medida que más organizaciones financieras implementan IA, ha surgido una brecha significativa en la prevención del fraude entre instituciones grandes y pequeñas. Esto se debe a que las grandes organizaciones tienden a tener muchos más datos históricos para construir anti–modelos de IA de fraude que los más pequeños. Como tal, debería haber más intercambio de datos para permitir que las instituciones más pequeñas desarrollen modelos de IA eficaces en esta área.
- Desarrollar mejores prácticas para el mapeo de la cadena de suministro de datos. Los avances en la IA generativa han subrayado la importancia de monitorear las cadenas de suministro de datos para garantizar que los modelos utilicen datos precisos y confiables, y que se tengan en cuenta la privacidad y la seguridad. Por lo tanto, la industria debería desarrollar mejores prácticas de mapeo de la cadena de suministro de datos y también considerar implementar ‘etiquetas nutricionales’ para los sistemas de inteligencia artificial y los proveedores de datos proporcionados por los proveedores. Estas etiquetas identificarían claramente qué datos se utilizaron para entrenar el modelo y dónde se originaron.
- Abordar la escasez de talento en IA. Se insta a las organizaciones financieras a capacitar a los profesionales menos capacitados sobre cómo utilizar los sistemas de IA de manera segura y a brindar capacitación en IA específica para cada función a los empleados ajenos a la tecnología de la información.
- Implementar soluciones de identidad digital. Las sólidas soluciones de identidad digital pueden ayudar a combatir el fraude basado en la IA y fortalecer la ciberseguridad.
El informe también reconoció que el gobierno necesita tomar más medidas para ayudar a las organizaciones a resolver las amenazas basadas en IA. Esto incluye garantizar la coordinación a nivel estatal y federal para las regulaciones de IA, así como a nivel mundial.
Además, el Tesoro cree que el Marco de Gestión de Riesgos de IA del Instituto Nacional de Estándares y Tecnología (NIST) podría adaptarse y ampliarse para incluir contenido más aplicable sobre la gobernanza de la IA y la gestión de riesgos relacionados con el sector de servicios financieros.
La subsecretaria de Finanzas Internas, Nellie Lian, comentó: “La inteligencia artificial está redefiniendo la ciberseguridad y el fraude en el sector de servicios financieros, y la administración Biden está comprometida a trabajar con instituciones financieras para utilizar tecnologías emergentes y al mismo tiempo protegerse contra amenazas a la resiliencia operativa y la estabilidad financiera. “
