Por Lawrence A. Gordon | 4 de febrero del 2025
En el mundo actual de sistemas de información basados en computadoras interconectadas, el riesgo cibernético se ha convertido en uno de los factores de riesgo críticos que impacta las empresas. De hecho, varios estudios han mostrado que el riesgo cibernético (por ejemplo, la probabilidad de ser víctima de un ataque cibernético exitoso) es una de la, sino la, preocupación mayor de riesgo de los altos ejecutivos de las empresas privadas y públicas. Los auditores también han reconocido la naturaleza crítica del riesgo cibernético para las empresas, como fue evidenciado por el marco de informes del desarrollo de la gestión de riesgo cibernético del Instituto Norteamericano de Contadores Públicos. El riesgo de la seguridad cibernética es también una preocupación importante para las seguridades de los Estados Unidos y la Comisión de Intercambio, como fue evidenciado por sus reglas de divulgación del año 2023 donde se requiere que los solicitantes incluyan el artículo 1C (Ciberseguridad) en el formulario 10-K y que revelen incidentes cibernéticos materiales en el formulario 8-K.
Modelos de Inteligencia Artificial (IA)
El arsenal técnico que es utilizado por las empresas para la gestión de su riesgo cibernético incluye cosas como la encriptación, el control de acceso, la detección de intrusión y sistemas de prevención, el servidor de seguridad y el sistema de restauración. Durante las últimas dos décadas, los modelos de inteligencia artificial han sido muy utilizados para asistir a las empresas en la implementación de los métodos mencionados anteriormente para prevenir y responder a los ataques cibernéticos. Por ejemplo, los modelos de máquinas de aprendizaje que son generados por la IA facilitan la detección de intrusión y la corrección, el análisis predictivo, la detección de fraude financiero, y la respuesta en tiempo real de incidentes cibernéticos.
A pesar de que la asistencia de la IA ayuda a las empresas a defenderse de los ataques cibernéticos, es una espada de doble filo. Más claramente, la IA también le provee a los atacantes cibernéticos de muchas técnicas costo eficientes que facilitan sus ataques. Los ataques de robo de identidad que son generados por la IA, los ataques de ingeniería social, y los ataques de rescates son solo algunas de las maneras en que la IA ha hecho que el panorama de los ataques cibernéticos sea más letal.
Aspectos teóricos de los juegos en el riesgo cibernético
Los modelos generados por la IA que son utilizados por los atacantes y defensores cibernéticos han estado evolucionando a un ritmo rápido. Como resultado, las interacciones estratégicas entre los atacantes cibernéticos y los defensores cibernéticos se han convertido en algo más automatizado, más dinámico, más adaptable y más complejo. Estos desarrollos han aumentado y cambiado sustancialmente los aspectos teóricos de los juegos asociados a los riesgos cibernéticos.
Desafortunadamente, no existe ninguna estrategia dominante que le ofrezca a una empresa (como defensor cibernético) un camino claro para reducir la probabilidad de convertirse en una víctima de un ataque cibernético exitoso. No obstante lo anterior, es bien conocido que las empresas se convierten en un objetivo menos atractivo para los piratas cibernéticos (es decir, su riesgo cibernético disminuye) al invertir en una serie actividades relacionadas con la seguridad cibernética. Esto produce la siguiente pregunta fundamental: ¿cuánto debe una organización invertir para prevenir, o por lo menos reducir, la probabilidad de un incidente cibernético?
Consideraciones de costo-beneficio
Además de considerar la cantidad total que será gastada en actividades relacionadas a la seguridad cibernética, una pregunta subsidiaria que las empresas deben responder es: ¿cuánto del presupuesto de nuestra empresa relacionado a la seguridad cibernética debe ser dedicado a desarrollar e implementar modelos de la IA diseñados para reducir la probabilidad de un incidente cibernético? Al responder esta pregunta subsidiaria, las empresas necesitan considerar los costos asociados a los modelos de la IA.
Los costos de desarrollar e implementar los nuevos modelos de la IA diseñados para reducir la probabilidad de un incidente cibernético dependen de muchos factores organizacionales específicos. Estos factores incluyen, pero no están necesariamente limitados a: (1) si la empresa tiene que desarrollar modelos de IA especializados, o podría utilizar modelos de IA existentes de código abierto, (2) si la empresa necesita contratar personal nuevo para desarrollar e implementar los modelos de IA, (3) si el nuevo software y/o hardware es requerido para integrar apropiadamente los modelos de IA a los sistemas de información existentes en la empresa.
Comentario final
Finalmente, los aspectos económicos de gestionar el programa de riesgo cibernético de una empresa necesitan considerar los costos y beneficios asociados a defenderse de los ataques cibernéticos. Sin embargo, debido al aumento del uso de los modelos generados por la IA por los atacantes y defensores cibernéticos, los aspectos de juego-teoría del riesgo cibernético han adquirido nuevas dimensiones. Los ganadores en este nuevo juego probablemente serán aquellos que estén más familiarizados con desarrollar e implementar modelos de IA.
Fuente: https://www.claimsjournal.com/news/national/2025/02/04/328758.htm
De Paz y Asociados, SRL 