Blog de WatchGuard

Inteligencia Artificial: Vulnerabilidades en los próximos proyectos de los nuevos desarrolladores

En una realidad en la que el número, la profesionalización y la sofisticación de los atacantes obliga a fortalecer las políticas de seguridad en las organizaciones, así como desarrollar procesos específicos para prevenir, detectar, investigar, contener y erradicar ciberataques con las tecnologías más avanzadas, la Inteligencia Artificial irrumpe en ciberseguridad.

Las herramientas de codificación de IA introducen vulnerabilidades básicas en los proyectos de los nuevos desarrolladores, aunque el machine learning (ML) y la inteligencia artificial (IA) no han llegado a ser tan poderosos como afirman algunos evangelistas del mundo de la tecnología, han evolucionado significativamente para ofrecer muchas nuevas capacidades prácticas. 

“Para este 2023 parte de la acciones que se visualizan es la confianza excesiva que un desarrollador ignorante y/o inexperto tenga hacia asistentes de AI como Copilot, o en una herramienta de codificación de IA similar, en el que lanzará una aplicación que incluya una vulnerabilidad crítica introducida por un código automatizado” mencionó Corey Nachreiner, Director de Seguridad de WatchGuard Technologies.

Copilot de GitHub es una de esas herramientas de codificación automatizada. GitHub entrena a Copilot utilizando el "big data" de miles de millones de líneas de código que se encuentran en sus repositorios. Sin embargo, como ocurre con cualquier algoritmo de IA/ML, la calidad de sus resultados depende de la calidad de los datos de aprendizaje que se le introducen y de las instrucciones que se le dan; si alimentas a la IA con código malo o inseguro, puedes esperar que produzca lo mismo. 

De acuerdo con estudios del Centro de Seguridad de NYU hasta el 40% del código generado por Copilot incluye vulnerabilidades de seguridad explotables, y este porcentaje aumenta cuando el propio código del desarrollador contiene vulnerabilidades. Se considera un problema lo suficientemente grave como para que GitHub se apresure a advertir: "Eres responsable de garantizar la seguridad y la calidad de tu código [cuando utilizas Copilot]”.  

Empresas tecnológicas como Cruise, Baidu y Waymo han empezado a probar robotaxis bajo el uso de herramientas de codificación automatizada. Los robotaxis son automóviles autónomos que ofrecen una experiencia similar a Uber o Lyft, pero sin conductor humano. Empresas como Baidu afirman que ya han completado con éxito más de un millón de estos viajes autónomos para pasajeros en el que los inversores se ven atraídos por el ahorro de costes al eliminar su mano de obra . 

Investigaciones de seguridad han demostrado que los autos conectados a Internet pueden ser hackeados, y los humanos ya han demostrado que se puede diseñar socialmente y “visualmente” la IA. Cuando se combinan estas dos cosas con un servicio basado en la telefonía móvil que cualquiera puede utilizar, seguramente veremos al menos un incidente de ciberseguridad en el que los actores de amenazas ataquen a los robotaxis por diversión y afán de lucro. 

“Dado que estos servicios de vehículos autónomos son tan nuevos y aún están en fase de pruebas, no creemos que un hackeo provoque un accidente peligroso en un futuro próximo. Sin embargo sospechamos que algunos investigadores de seguridad o hackers de sombrero gris podrían perpetrar una broma técnica de robotaxi que provoque que uno de estos vehículos se quede atascado sin saber qué hacer, lo que podría entorpecer o detener el tráfico” comentó Marc Laliberte, Director de Operaciones de Seguridad