La Orden Ejecutiva de la Casa Blanca para promover Innovación en IA Avanzada y Seguridad para protegerse de, y con, la IA

Ayer antes de irme a la cama me topé con la publicación de la Presidential Executive Order del 2 de Junio que publicaba la Casa Blanca de Estados Unidos para "Promoting Advanced Artificial Intelligence Innovation and Security", donde se insta a los principales organismo del gobierno de los EEUU a tomar en el plazo de un mes medidas para Mejorar la Innovación en IA Avanzada y en Seguridad, algo que a todo el mundo empresarial tiene muy preocupado últimamente.

Figura 1: La Orden Ejecutiva de la Casa Blanca para promover Innovación

en IA Avanzada y Seguridad para protegerse de, y con, la IA

Ya he hablado mucho de esto, pero básicamente el Impacto de la IA en la Ciberseguridad de una organización, sea esta una Infraestructura Crítica, una Empresa o un Organismo del Gobierno, se puede catalogar en varios puntos fundamentales, que son los que ha intentando reflejar esta orden que podéis leer completamente.

Figura 2: Promoting Advanced Artificial Intelligence Innovation and Security

1.- La IA inyecta nuevos problemas de seguridad

De esto he hablado muchas veces, y hasta hemos publicado el libro de "Hacking AI", donde se tratan todos los problemas de seguridad de los que nos debemos preocupar si se utilizan sistemas con modelos de IA. Desde los BIAS, hasta las Hallucinations, pasando por el Poisoning de datos y de modelos, los problemas de Jailbreak, la vulnerabilidad a las técnicas de Prompt Injection, y el Desalineamiento de los modelos, que fuerzan los atacantes.

Figura 3:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Todos estos problemas de seguridad no deben frenar el desarrollo y el uso de la IA, pero sí que exigen desarrollo de planes de contención robustos basados en Guardarrailes, y el despliegue seguro de IA... que no es tan sencillo. 

Figura 4: Advanced AI introduce nuevas consideraciones de seguridad

En la Executive Order, en el primer punto de la misma podemos leer lo que tenéis arriba, y es que las capacidades de IA hacen a la nación más fuerte, pero también introducen nuevas consideraciones de seguridad que hay que tomar en cuenta, para lo que se insta a hacer muchas cosas.

2.- Securizar IA y usar IA para Securizar

En la Sección 2 de la Executive Order, donde se insta a todos los departamentos a tomar precauciones, toca tes puntos muy relevantes, a saber:

Figura 5: Executive Order Section 2. Security

El primero de ellos es el que todos conocemos, y es que un adversario con IA es un adversario mucho más peligroso hoy en día. Tanto en el uso de Agentes IA de Seguridad Ofensiva, como en la búsqueda y explotación de vulnerabilidades. 

Figura 6: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso,

Agentes de Seguridad Ofensiva de gran efectividad y modelos como Mythos, son ya una realidad presente que hace que las soluciones de seguridad hasta el momento se queden insuficientes.

3.- Buscar bugs con IA y Parchearlos con IA

El segundo de ellos es que hay que que utilizar herramientas de seguridad basadas en IA, es decir, el uso de Agentic SOC, uso de IA para detectar ataques e, incluso, utilizar IA para parchear sistemas, como el caso de Plexicus, que está empujando José Palanco, del que tanto os he hablado ya, que permite parchear en caliente y gestionar las vulnerabilidades de una organización de manera automática utilizando IA.

Figura 7: Plexicus parchea con IA los bugs descubiertos

El tercero de los problemas es permitir el acceso a nuevas herramientas de seguridad que puedan resolver los nuevos problemas de seguridad que introducen los sistemas que utilizan IA. Hace un par de días os hablaba del Despliegue de Agentes AI con políticas de Zero-Trust y la cantidad de nuevas herramientas que son necesarias para proteger, medianamente, un entorno de Agentic AI en una organización.

Figura 8: Búsqueda de Vulnerabilidades con IA y Parchear lo antes posible

Además, para poder hacer este trabajo, hay que realizar, como hace todo buen CISO, una nueva auditoría buscando vulnerabilidades en todos los sistemas utilizando herramientas de AI - tipo Mythos - para buscar esas vulnerabilidades, y parchearlas lo antes posible. 

4.- Auditoría de los Modelos de Frontera 

La última parte de la orden tiene que ver directamente con los Modelos de Frontera de IA que se van a utilizar con todo este proyecto, donde se insta a que se haga un Benchmarking de auditoría completo para saber cuáles son los modelos que, en función de las necesidades anteriormente descritas cumplen o no cumplen los requisitos que se les demandan.

Figura 9: Despliegues de Modelos de Frontera Seguros

Como podéis ver, habla en todo momento de Secure Frontier Model, porque son conocidas las debilidades y por tanto hay que poner en valor su robustez, y el despliegue seguro que se haga de los mismos con guardarraíles para tener entornos securizados.

Los plazos

Lo más llamativo, son los plazos. Se habla de 30 días y 60 días en todas las aciones demandadas, lo que muestra y evidencia el nivel de preocupación que el gobierno de los Estados Unidos tiene con el impacto de la IA en la Seguridad Nacional a todos los niveles. Os dejo esta charla de finales del año pasado - pre- Mythos -.

Figura 10: Inteligencia Artificial y Ciberseguridad

La pregunta que me surge es ¿haremos lo mismo en Europa pronto? ¿Lo haremos en todas las empresas en Europa pronto? Como se suele decir. "Clock is ticking".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Senior fellow advisor en el Máster de IA de Jon Hernández en Big School

Hace tiempo colaboré con Jon Hernández en un podcast sobre cómo sería el futuro de la IA en el mundo laboral y profesional, lógicamente con mis intereses personales en la parte de ciberseguridad y hacking, y la verdad es que quedó muy chulo, y me lo pasé muy bien trabajando con él.

Figura 1: Senior fellow advisor en el Máster de IA de Jon Hernández en Big School

La grabación del podcast la puedes ver en su canal Youtube - que aún no he hecho backup en mi canal -, y puedes ver de todas las cosas que hablamos hace un año, y así ves de todo lo que hablábamos, y te darás cuenta que todo sigue de máxima actualidad.

Figura 2: Chema Alonso y Jon Hernández

Ahora voy a tener la oportunidad de trabajar con Jon Hernández otra vez, en Máster de Inteligencia Artificial que tienen en Big School, donde voy a colaborar como Senior Fellow Advisor en algunos programas, dando alguna sesión.

Figura 3: Máster de IA con acceso vitalicio de Jon Hernández

La formación da su inicio en tres días, así que no es que os quede mucho tiempo para pensaros si queréis apuntaros, pero sí que quería contároslo, que ya sabéis que me gusta contar todo lo que voy haciendo en mi blog.

Figura 4: Máster de IA con acceso vitalicio de Jon Hernández

En este programa yo hablaré de la parte de Ciberseguridad e Inteligencia Artificial, que aunque es una formación para conocer en profundidad las tecnologías de IA y cómo aplicarla en el mundo empresarial, yo tengo que sentar algunas bases de los riesgos y protecciones.

Figura 5: Masterclasses en el Máster de IA con acceso vitalicio de Jon Hernández

Como podéis ver, hay una lista de ponentes en este programa enorme, y además profesionales que vienen a contar sus experiencias desde diferentes carreras profesionales a compartir cómo usan la Inteligencia Artificial en su día a día.

Figura 6: Profesores del Máster de IA con acceso vitalicio de Jon Hernández

Además, para todos los asistentes del programa de Big School del Máster de IA tendremos un chat en MyPublicInbox para consulta de dudas de que tengan que ver con la parte de Ciberseguridad & IA de la que yo daré mi sesión, así que si vas a estar aquí, podremos estar en contacto.

Figura 7: Contactar con Jon Hernández

Si os digo que todas las semanas me toca dedicar más de ocho o diez horas de lectura y aprendizaje de cosas nuevas que tienen que ver con Inteligencia Artificial debido a la velocidad que va esto, seguro que me entendéis, porque estamos todos igual, así que este participar como Senior Fellow Advisor aquí en este programa me ayuda a poner orden en ese aprendizaje y "destilar" lo leído y aprendido en conocimiento accionable, que es lo que todos necesitamos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)