Recientemente tuve la oportunidad de sentarme con Francis de Souza, director de operaciones de Google Cloud, entre bastidores en un evento en Los Ángeles. En medio del ruido que nos rodea, de Souza, que habla con la calma y la mesura de un profesor universitario, ofreció consejos útiles para las empresas que atraviesan el momento de seguridad de la IA que todos estamos viviendo, y señaló que «habrá un período de transición, y luego creo que llegaremos a este lugar mejor».
No estaba hablando de Google en ese momento, pero está claro que incluso Google todavía está averiguando cosas.
El mensaje central de De Souza fue uno que los profesionales de la seguridad han estado tratando de que los ejecutivos internalicen durante años, y que ahora la IA se ha vuelto urgente: la seguridad no puede ser una ocurrencia tardía. «A medida que las empresas se embarcan en este viaje hacia la IA, deben adoptar un enfoque de plataforma», dijo. «La seguridad no es algo que puedas implementar más tarde, y no es algo que puedas dejar que los empleados hagan por su cuenta». Advirtió específicamente sobre la “IA en la sombra” (los empleados buscan herramientas de consumo sin supervisión organizacional) y argumentó que las empresas deben exigir seguridad, gobernanza y auditabilidad de sus plataformas desde el principio. «No existe una estrategia de IA sin una estrategia de datos y una estrategia de seguridad. Deben ir de la mano».
Vale la pena señalar: no estaba lanzando Google Cloud solo. Cuando observé que su consejo sonaba como un anuncio de Google, retrocedió. Google, dijo, está comprometido con un enfoque multinube, y argumentó que las empresas que piensan que están operando en una sola nube casi con certeza no lo hacen. «Incluso si eligen una sola nube y dependen de aplicaciones SaaS, hay socios comerciales que pueden estar usando diferentes nubes», dijo. «Es importante que las empresas tengan una postura de seguridad que sea consistente en todas las nubes y en todos los modelos».
También argumentó que el panorama de amenazas ha cambiado de manera tan fundamental que los viejos modelos defensivos son demasiado lentos. Señaló que el tiempo promedio entre una infracción inicial y el paso a la siguiente etapa de un ataque se ha reducido de ocho horas a 22 segundos, y que la superficie de ataque se ha expandido mucho más allá del perímetro de la red tradicional. «Además de su patrimonio habitual, ahora tiene modelos. Tiene canales de datos que se utilizan para entrenar los modelos. Tiene agentes, tiene indicaciones. Todo esto debe protegerse».
Una amenaza que de Souza señaló y que no recibe suficiente atención: los agentes que se mueven a través de los sistemas internos de una empresa pueden sacar a la luz depósitos de datos olvidados en los que nadie ha pensado en años. «Muchas organizaciones tienen servidores SharePoint antiguos [and access controls] Realmente no se han actualizado, pero no importó porque nadie sabía realmente dónde estaban. Pero los agentes que deambulan por su empresa encontrarán esos activos de datos y los expondrán”.
La respuesta, en su opinión, es igualar la velocidad de la máquina con la velocidad de la máquina. «Ahora estamos viendo el surgimiento de una defensa totalmente agente, nativa de IA, donde las organizaciones pueden ejecutar agentes que impulsen su defensa», dijo. «En lugar de tener una defensa dirigida por humanos o incluso un humano al tanto, ahora puedes tener humanos supervisando una defensa totalmente agente». Añadió que esto se ha convertido en una cuestión de liderazgo, no sólo tecnológica. «Ésta es una cuestión a nivel de la junta directiva y del equipo ejecutivo. No es sólo una cuestión del equipo de seguridad».
Pero incluso cuando la IA asume una mayor carga de trabajo defensiva, las personas calificadas para supervisarla son escasas, y las vulnerabilidades que la propia IA está introduciendo se multiplican más rápido de lo que los equipos de seguridad pueden abordarlas. «Vamos a necesitar gente para lidiar con el apocalipsis de los errores», dijo Lea Kissner, directora de seguridad de la información de LinkedIn, al New York Times esta semana, y agregó que no espera que la industria comprenda la seguridad de la IA de una manera sostenible a largo plazo durante al menos varios años.
Lo que nos lleva de nuevo a los propios proveedores de plataformas. The Register ha publicado una serie de informes durante las últimas semanas que documentan una ola de desarrolladores de Google Cloud afectados por facturas de cinco cifras luego de llamadas API no autorizadas a modelos Gemini, servicios que muchos de ellos nunca habían usado o habilitado intencionalmente. Los casos siguieron un patrón familiar: las claves API implementadas originalmente para Google Maps, colocadas públicamente según las propias instrucciones de Google, silenciosamente se volvieron capaces de acceder a Gemini después de que Google amplió su alcance sin revelar claramente el cambio.
Rod Danan, director ejecutivo de la plataforma de preparación de entrevistas Prentus, dijo que su factura alcanzó los 10.138 dólares en aproximadamente 30 minutos después de que los atacantes explotaran su clave API comprometida. Isuru Fonseka, un desarrollador con sede en Sydney cuya cuenta se vio comprometida de manera similar, se encontró con cargos de aproximadamente 17.000 dólares australianos a pesar de creer que tenía un límite de gasto de 250 dólares. Lo que ninguno de los dos sabía era que los sistemas automatizados de Google habían mejorado sus niveles de facturación basándose en el historial de la cuenta, elevando sus límites efectivos hasta 100.000 dólares sin consentimiento explícito.
Google reembolsó ambos después de que The Register publicara su informe inicial. Aún así, Google dijo a The Register que no tiene planes de cambiar su política de actualización automática de niveles, diciendo que prioriza prevenir interrupciones del servicio sobre hacer cumplir las preferencias presupuestarias declaradas por los usuarios.
Mientras tanto, existe la cuestión aparte de qué sucede cuando un desarrollador intenta cerrar las cosas. The Register informó esta semana sobre una investigación realizada por la firma de seguridad Aikido que encontró que incluso los desarrolladores que detectan una clave comprometida y la eliminan inmediatamente pueden no estar seguros. Según los hallazgos de Aikido, los atacantes aparentemente pueden continuar usando esa clave por hasta 23 minutos porque la revocación de Google se propaga gradualmente a través de su infraestructura. El investigador de Aikido, Joseph Leon, dijo a The Register que durante esa ventana, las tasas de éxito son impredecibles (en algunos minutos, más del 90% de las solicitudes aún están autenticadas) y los atacantes pueden aprovechar ese tiempo para extraer archivos y datos de conversaciones en caché de Gemini.
Leon también señaló que los formatos de credenciales más nuevos de Google no parecen tener el mismo problema: las credenciales API de la cuenta de servicio se revocan en aproximadamente cinco segundos, y el nuevo formato de clave con prefijo AQ de Gemini demora aproximadamente un minuto. «Ambos funcionan a escala de Google», escribió en un artículo relacionado con Aikido. «Ambos sugieren que esto también se puede resolver técnicamente para las claves API de Google». En resumen, según León, la ventana de 23 minutos no es una limitación de ingeniería sino una cuestión de prioridades para la empresa.
Vale la pena considerarlo al leer el consejo de De Souza, que es sensato y debe tomarse muy en serio. No se equivoca, pero actualmente existe una brecha entre las plataformas que prescriben y la rapidez con la que se adaptan, y es bueno ser consciente de esto también.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
