Auditoría de TI

El auditor y la amenaza de la desinformación de la IA para las empresas

Detalles
Categoría de nivel principal o raíz: Blog
TI

Por: CP Iván Rodríguez. Colaborador de Auditool.

Uno de los riesgos emergentes que ha surgido con la aparición de las nuevas tecnologías tales como la inteligencia artificial generativa, es la generación y propagación de información falsa o desinformación. En el caso de la generación de textos, es posible generar contenido falso que podría ser difícil de diferenciar de datos verdaderos. Por otra parte, los algoritmos usados para elaborar contenidos podrían estar orientados a generar resultados engañosos o alejados de la realidad, sin que el usuario final lo sepa o sospeche.

Uno de los temas más sensibles sobre la desinformación es la reputación de las empresas. Y esto ha sucedido desde hace tiempo, antes del internet y las redes sociales. Si bien la propagación de los rumores e información falsa sobre las empresas ocurría lentamente y se localizaba geográficamente en un espacio normalmente reducido, hoy día la difusión de datos e información ocurre en instantes y puede abarcar grandes extensiones, de hecho, en casi todos los lugares del mundo que cuenten con acceso a internet.

De acuerdo con el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology – NIST), se entiende por desinformación al proceso de suministrar información deliberadamente engañosa a los adversarios para engañarlos o confundirlos con respecto a la postura de seguridad del sistema u organización, o el estado de preparación cibernética.

La desinformación ha evolucionado rápidamente gracias al fácil acceso que tienen individuos, organizaciones e incluso gobiernos a diferentes canales tales como las redes sociales y a la rápida influencia que en algunos casos se puede tener sobre la opinión pública (artículos, imágenes o videos que se difunden con mínimo control y se denominan “virales”). Incluso en el mercado existen proveedores que ofrecen campañas de desinformación como servicio disponible por un precio.

La desinformación se evidencia en acciones como las siguientes:

  • Creación de sitios web falsos o engañosos
  • Difusión de teorías conspirativas (la luna no existe o la tierra es plana)
  • Creación de deep fakes (videos de apariencia realista, pero falsos) y medios sintéticos (aplicación de las tecnologías digitales para producir contenidos mediáticos artificialmente, tales como videos, imagen, texto o voz)
  • Astroturfing que implica la creación de perfiles falsos en redes sociales y comunidades online para apoyar una marca, empresa o persona y atacar a sus rivales

Este tema ha sido tratado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (Cybersecurity and Infrastructure Security Agency - CISA, por sus siglas en inglés). En su página web se ofrece información y recomendaciones. Dicha agencia, creada en 2018 hace parte del Departamento de Seguridad Nacional de los Estados Unidos (Department of Homeland Security – DHS) y es responsable de la seguridad de la infraestructura crítica del país.

Ahora bien, para la alta dirección de las organizaciones y para los auditores se hace necesario conocer cómo gestionar este riesgo emergente.

Algunas consideraciones que pueden tenerse en cuenta son las siguientes:

Escepticismo frente a la fuente

Debe evaluarse de manera crítica el contenido informativo, los datos asociados y su origen con el propósito de determinar si es confiable. Es conveniente investigar las credenciales del autor, la reputación del medio que divulga la información y verificar los hechos que lo respaldan.

Investigar los hechos

De manera semejante a cualquier otro trabajo de auditoría, se debe llevar a cabo una búsqueda exhaustiva, objetiva e imparcial de los hechos e información en evaluación, observando lo que dicen las fuentes creíbles y considerando diferentes perspectivas. Se debe confiar en aquellas fuentes de información que parecen ser más serias y con más trayectoria y reputación. Normalmente, estos pueden ser sitios gubernamentales o de organizaciones profesionales o gremiales.

Conocimiento de técnicas de desinformación

Los auditores deben capacitarse continuamente en las técnicas que emplean quienes buscan desinformar. Esto facilitará reconocer el riesgo y comprender cómo los actores de la desinformación aprovechan sus tácticas para impulsar su agenda e intereses. Así, se cuenta con mejores herramientas para lograr una mayor prevención.

Si, a pesar de las medidas y controles adoptados, una organización es víctima de un ataque de desinformación que la afecte, es conveniente activar un plan de respuesta y recuperación, de manera que se proteja la reputación empresarial. Para ello, es necesario conocer el perfil de riesgo de la empresa, lo cual se logra al determinar dónde pueden surgir las amenazas y cuál puede ser su objetivo. Así mismo, se deben conocer las vulnerabilidades e identificar los tipos de ataques que pueden afectar a la organización.

Adicionalmente, deben ejecutarse acciones de capacitación en las que se estudien los riesgos emergentes de desinformación y cómo detectarlos. Toda vez que las campañas de desinformación pueden surgir en diferentes sitios, mientras más personal de la organización sea capaz de identificar amenazas, hay mayor lugar a defenderse.
Una vez identificado un ataque, la organización debe responder. Por tanto, debe decidir cuál es la mejor manera de hacerlo. Es conveniente, entonces, contar con personal clave que sea capaz de entender y evaluar los impactos que pudiera sufrir la reputación de la empresa y cómo interactuar con los terceros interesados para efectuar las aclaraciones a que haya lugar. Las amenazas y la desinformación no deben tener mayor cobertura que la estrictamente necesaria. Por otra parte, se puede aprovechar la ocasión para enfatizar los valores fundamentales y la cultura empresarial de la organización.

Otro aspecto para tener en cuenta es la comprensión del origen y magnitud del ataque. Este conocimiento facilita el ponerse en contacto con los terceros apropiados para adelantar las investigaciones necesarias, las denuncias pertinentes y, de esta manera, enfrentar de la mejor manera la materialización del riesgo con el menor impacto. Este aprendizaje finalmente contribuirá a enriquecer las labores de monitoreo y de identificación temprana de amenazas emergentes; de este modo, las organizaciones estarán en una posición más sólida para responder ante ellas.

Para finalizar, no hay que olvidar que, aunque las tácticas de desinformación están diseñadas para engañar y manipular, evaluar críticamente el contenido y verificar la información con fuentes creíbles, es una buena estrategia frente a la desinformación y sus consecuencias.

  

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado