Confiar en la inteligencia artificial en ciberseguridad es un arma de doble filo

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3831285

Las aplicaciones de la inteligencia artificial (IA) para tareas de ciberseguridad están atrayendo una mayor atención de los sectores privado y público. Las estimaciones indican que el mercado de la IA en ciberseguridad crecerá de 1.000 millones de dólares en 2016 a un valor neto de 34.800 millones de dólares en 2025. Las últimas estrategias nacionales de ciberseguridad y defensa de varios gobiernos mencionan explícitamente las capacidades de la IA. Al mismo tiempo, están surgiendo a escala mundial iniciativas para definir nuevas normas y procedimientos de certificación para suscitar la confianza de los usuarios en la IA. Sin embargo, la confianza en la IA (tanto en el aprendizaje automático como en las redes neuronales) para realizar tareas de ciberseguridad es un arma de doble filo: puede mejorar sustancialmente las prácticas de ciberseguridad, pero también puede facilitar nuevas formas de ataque a las propias aplicaciones de IA, que pueden suponer graves amenazas para la seguridad. Sostenemos que la confianza en la IA para la ciberseguridad no está justificada y que, para reducir los riesgos de seguridad, es necesario algún tipo de control que garantice el despliegue de una «IA fiable» para la ciberseguridad. Para ello, ofrecemos tres recomendaciones centradas en el diseño, el desarrollo y el despliegue de la IA para la ciberseguridad.

Contrarrestar los problemas de seguridad que plantean las últimas tecnologías de IA

https://www.shine.cn/news/metro/2107101823/

En la Conferencia Mundial sobre Inteligencia Artificial que se está celebrando se están elaborando una serie de normas nacionales para salvaguardar la ciberseguridad y reprimir las aplicaciones ilegales de las tecnologías de inteligencia artificial.

Estas normas abarcan ámbitos como el audio y el vídeo sintéticos basados en la inteligencia artificial, la seguridad de los algoritmos de aprendizaje automático y la tecnología de identificación biométrica de la inteligencia artificial.

Las nuevas tecnologías de IA emergentes, como el deepfake, se están aplicando en áreas de filmación, tratamiento médico y realidad virtual, donde tienen el potencial de ser abusadas, advirtieron los expertos.

Las celebridades han sido víctimas de los vídeos deepfake después de que sus rostros se unieran a los de las estrellas del porno de forma digital. A algunas actrices famosas, como Scarlett Johansson, les cambiaron digitalmente sus rostros por los de actrices porno.

Las tecnologías de IA también se han utilizado en diversas estafas, como los fraudes de telecomunicaciones.

El abuso de las tecnologías amenaza incluso la seguridad social y nacional, dijeron los asistentes.

«Las tecnologías deepfake dificultan la obtención de pruebas y la identificación de imágenes por parte de la policía y las autoridades judiciales y se convierten en «armas» de la guerra de la información», dijo Tian Tian, director general de RealAI, una empresa de IA incubada en la Universidad de Tsinghua.

Los problemas de seguridad que plantean las nuevas tecnologías, como el deepfake, son un cuello de botella para la industria de la IA, dijo Tian.

La industria de la IA está experimentando una transformación desde el desarrollo rápido al desarrollo de alta calidad. La demanda de aplicaciones en escenarios complejos y de alto valor, como las finanzas y el tratamiento médico, está creciendo rápidamente. Sin embargo, también han surgido varios problemas de seguridad durante el proceso.

Además de los reglamentos y las normas, también se está adoptando un enfoque tecnológico para acabar con los problemas de seguridad que plantean las nuevas tecnologías de IA.

RealAI lanzó en la WAIC su plataforma DeepReal con tecnologías de contrarresto que pueden reconocer contenidos falsos, incluidas las caras falsas.

Puede aplicarse en diversos ámbitos, como la investigación policial, la seguridad en el ciberespacio, la protección de la reputación personal y la prevención de los fraudes cibernéticos, con una rápida identificación de imágenes y un alto índice de precisión en la identificación.

«La inteligencia artificial segura, fiable y digna de confianza es la tendencia futura, y la seguridad debe ser la base del desarrollo de la IA en la próxima fase», dijo Zhang Bo, académico de la Academia China de Ciencias y director del Instituto de Inteligencia Artificial de la Universidad de Tsinghua.

Hack de ‘150.000 cámaras’ investigado por empresa de cámaras

https://www.bbc.com/news/technology-56342525

La firma que las fabrica está investigando un hack de hasta 150.000 cámaras de seguridad instaladas en escuelas, hospitales y empresas.

Los piratas informáticos afirman haber violado Verkada, una empresa de seguridad que proporciona cámaras a empresas como Tesla.

Bloomberg informó que se secuestraron las fuentes de las prisiones, hospitales psiquiátricos, clínicas y las propias oficinas de Verkada.

Verkada dijo a la BBC que estaba «investigando la escala y el alcance de este problema».

La compañía agregó que había notificado a la policía. Sin embargo, no confirmó el tamaño y la escala del ataque.

Reuters también informó que la empresa de transporte Virgin Hyperloop estaba entre la lista de cuentas de usuarios afectadas reveladas por los piratas informáticos.

El proveedor de software Cloudflare le dijo a la BBC que había sido alertado sobre un «puñado» de cámaras que podrían haber sido comprometidas en sus oficinas en todo el mundo.

Una cámara de Verkada dentro de un hospital de Florida, presuntamente vista por Bloomberg, mostró lo que parecían ser ocho trabajadores atacando a un hombre y inmovilizándolo contra una cama.

Otro video mostró a oficiales en una estación de policía en Stoughton, Massachusetts, interrogando a un hombre esposado.

Uno, dentro de un almacén de Tesla en Shanghai, mostraba a personas trabajando en una línea de montaje.

La BBC no ha podido verificar estos videos de forma independiente.

‘Demasiada diversión’

Los piratas informáticos también dijeron que habían obtenido acceso a las cámaras de seguridad de la escuela primaria Sandy Hook en Newtown, Connecticut, donde un hombre armado mató a más de 20 personas en 2012.

En declaraciones a Bloomberg, Tille Kottmann se atribuyó el mérito de piratear los sistemas de Verkada.

Las razones del hackeo, dijo Kottmann, fueron «mucha curiosidad, luchar por la libertad de información y contra la propiedad intelectual, una gran dosis de anticapitalismo, una pizca de anarquismo, y también es demasiado divertido no hacerlo». «.

Según los informes, el ataque no fue sofisticado e implicó el uso de una cuenta de «superadministrador» para obtener acceso a Verkada.

Bloomberg dijo que después de contactar a Verkada, los piratas informáticos perdieron el acceso a los videos y archivos.

Un portavoz de Verkada dijo a la BBC: «Hemos desactivado todas las cuentas de administrador interno para evitar cualquier acceso no autorizado.

«Nuestro equipo de seguridad interno y la firma de seguridad externa están investigando la escala y el alcance de este problema, y ​​hemos notificado a las autoridades».

La empresa también ha creado una línea de soporte para sus clientes.

Desafíos de ciberseguridad de inteligencia artificial

 Este informe presenta el mapeo activo de la Agencia del ecosistema de ciberseguridad de IA y su panorama de amenazas, realizado con el apoyo del Grupo de Trabajo Ad-Hoc sobre Ciberseguridad de Inteligencia Artificial. El panorama de amenazas de inteligencia artificial de ENISA no solo sienta las bases para las próximas iniciativas de políticas de ciberseguridad y directrices técnicas, sino que también destaca los desafíos relevantes. Un área de particular importancia es la de la cadena de suministro relacionada con la IA y, en consecuencia, es importante destacar la necesidad de un ecosistema de la UE para una IA segura y confiable, incluidos todos los elementos de la cadena de suministro de la IA. El ecosistema de inteligencia artificial segura de la UE debe colocar la ciberseguridad y la protección de datos en un primer plano y fomentar la innovación, la creación de capacidad, la sensibilización y las iniciativas de investigación y desarrollo pertinentes.

https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges

La presidencia alemana de la UE impulsa la ciberseguridad "desde el diseño" en los dispositivos conectados

 Los ordenadores portátiles, teléfonos inteligentes y otros dispositivos conectados en Europa deberían estar sujetos a nuevos estándares de ciberseguridad a lo largo de «todo el ciclo de vida» de los productos, según el proyecto de conclusiones del Consejo de la UE sobre el tema, obtenido por EURACTIV.

El texto de la Presidencia alemana se centra en los esfuerzos de la UE para reforzar la ciberseguridad de los dispositivos conectados y aboga por la introducción de medidas más sólidas para garantizar que la rápida adopción de estos productos cuente con las garantías de seguridad y privacidad adecuadas.

“El mayor uso de productos de consumo y dispositivos industriales conectados a Internet también generará nuevos riesgos para la privacidad, la información y la ciberseguridad”, dice el documento, que ha circulado entre las naciones de la UE.

«La ciberseguridad y la privacidad deben reconocerse como requisitos esenciales en la innovación de productos, los procesos de producción y desarrollo, incluida la fase de diseño (seguridad por diseño), y deben garantizarse durante todo el ciclo de vida de un producto y en toda su cadena de suministro».

Los dispositivos conectados son objetos que pueden conectarse entre sí y con otros sistemas a través de Internet. Abarcan todo, desde computadoras portátiles o de escritorio, hasta teléfonos inteligentes o tabletas, hasta una gama cada vez más amplia de objetos como relojes conectados y equipos de automatización y control en hogares y fábricas.

German EU presidency pushes for cybersecurity ‘by design’ in connected devices

Mantener la puerta cerrada en sus dispositivos de IoT: vulnerabilidades encontradas en Alexa de Amazon

 Un asistente virtual inteligente (IVA) o asistente personal inteligente (IPA) es un agente de software que puede realizar tareas o servicios para una persona en función de comandos o preguntas. Amazon Alexa, comúnmente conocida como «Alexa» es un asistente virtual basado en inteligencia artificial desarrollado por Amazon, capaz de interacción de voz, reproducción de música, configuración de alarmas y otras tareas, incluido el control de dispositivos inteligentes como parte de un sistema de automatización del hogar. Los usuarios pueden ampliar las capacidades de Alexa mediante la instalación de «habilidades», una funcionalidad adicional desarrollada por proveedores externos que pueden considerarse aplicaciones, como programas meteorológicos y funciones de audio.

Dado que los asistentes virtuales hoy en día sirven como puntos de entrada a los electrodomésticos y controladores de dispositivos de las personas, asegurar estos puntos se ha vuelto fundamental, siendo la máxima prioridad mantener la privacidad del usuario. Este fue nuestro «punto de entrada» y motivación central al realizar esta investigación.

Nuestros hallazgos muestran que ciertos subdominios de Amazon / Alexa eran vulnerables a la mala configuración de Cross-Origin Resource Sharing (CORS) y Cross Site Scripting. Con XSS pudimos obtener el token CSRF y realizar acciones en nombre de la víctima.

Estas vulnerabilidades habrían permitido a un atacante:

  • Instalar habilidades (aplicaciones) de forma silenciosa en la cuenta de Alexa de un usuario
  • Obtenga una lista de todas las habilidades instaladas en la cuenta de Alexa del usuario
  • Eliminar silenciosamente una habilidad instalada
  • Obtenga el historial de voz de la víctima con su Alexa
  • Obtener la información personal de la víctima

Editado por Aniceto Pérez y Madrid, Especialista en Ética de la Inteligencia Artificial y Editor de Actualidad Deep Learning (@forodeeplearn).

Los artículos publicados son incluidos por su estimada relevancia y no expresan necesariamente los puntos de vista del Editor este Blog.

Los robots menosprecian la seguridad

Los robots y dispositivos de automatización han sido diseñados con una seguridad muy débil o inexistente, facilitando los ciberataques. El Reino Unido ha promulgado normas para exigir que los fabricantes se tomen la ciberseguridad en serio.

Editado por Aniceto Pérez y Madrid, Especialista en Ética de la Inteligencia Artificial  y Editor de Actualidad Deep Learning (@forodeeplearn). 

Los artículos publicados son incluidos por su estimada relevancia y no expresan necesariamente los puntos de vista del Editor este Blog.

Derecho para informáticos y otras personas

Manual de Mireille Hildebrandt. 

La primer parte trata sobre Derecho, Democracia, Ámbitos Privado, Público y Criminal, Derecho Internacional y Supranacional.
La segunda parte va del dominio del ciberderecho: Privacidad y Protección de Datos, Cibercrímen, Copyright y cibercrimen Derecho Privado de Responsabilidad.
La tercera se titula Fronteras delDerecho en un mundo online: personalidad legal de la IA, Legal por diseño o protección legal por diseño.
Conclusión: acerca de la ética, código y derecho.
Adaptado por Aniceto Pérez y Madrid, Especialista en Ética de la Inteligencia Artificial  y Editor de Actualidad Deep Learning (@forodeeplearn)

Tres retos éticos de la IA en Ciberseguridad

Los tres retos donde se debe considerar la ética son robustez del sistema, resliencia del sistema y respuesta del sistema.

https://www.academia.edu/39407123/Three_Ethical_Challenges_of_Applications_of_Artificial_Intelligence_in_Cybersecurity?email_work_card=title

Adaptado por Aniceto Pérez y Madrid, Filósofo de las Tecnologías y Editor de Actualidad Deep Learning (@forodeeplearn)

Crea tu sitio web con WordPress.com
Comenzar