Era de la inteligencia artificial: estudio alerta sobre brechas de seguridad en la nube

07/05/2025 18:30 Vulnerabilidades críticas, errores de configuración y acceso público a datos son solo algunos de los problemas que amenazan el desarrollo seguro de la IA, según estudio de Tenable.

Lucero Espinoza Castro

Periodista

p_lespinoza@editoraperu.com.pe

En medio del auge de la inteligencia artificial (IA), un reciente informe de la firma de ciberseguridad Tenable advierte sobre importantes brechas de seguridad en entornos en la nube que alojan cargas de trabajo de IA. La investigación identifica vulnerabilidades críticas, errores de configuración y riesgos asociados al manejo de datos de entrenamiento.

“El auge de la inteligencia artificial no solo representa una gran oportunidad para innovar, sino también un vector de riesgo que transforma el panorama de la ciberseguridad”, advirtió Hermes Romero, director de Tenable para Centro, Sudamérica y el Caribe, a El Peruano.

Lea también: ¿Cuánto puede costar el no invertir en ciberseguridad?

Riesgos

El informe identifica una serie de “combinaciones tóxicas” entre servicios de nube e IA que agravan la situación, tales como la exposición pública, privilegios excesivos y vulnerabilidades críticas se combinan para crear escenarios ideales para los ciberataques. Este patrón demuestra que configuraciones por defecto con acceso raíz o privilegios amplios siguen siendo prácticas comunes y peligrosas.

Romero explicó el concepto de errores de configuración “estilo Jenga”, introducido por Tenable, que describe cómo un solo componente mal configurado puede comprometer toda la estructura de servicios interdependientes en la nube.

“Ocho de cada diez organizaciones mantienen configuraciones por defecto con privilegios en exceso, lo que expone toda la arquitectura a posibles ataques”, detalló.

Otro riesgo creciente es el ‘envenenamiento’ de datos, que sucede cuando un actor malicioso modifica los conjuntos de datos de entrenamiento de inteligencia artificial. Así, los modelos aprenden de información sesgada o falsa, generando decisiones erróneas y pérdidas significativas. En este sentido, el informe señala que un 14% de las organizaciones no han bloqueado explícitamente el acceso público a sus “buckets” de entrenamiento.

Desafíos

Respecto a la región, el experto advirtió de un panorama desafiante. “En América Latina, la escasez de personal capacitado, recursos limitados y la creciente sofisticación de los ataques generan una tormenta perfecta”. Para hacer frente a esta realidad, recomendó estrategias proactivas centradas en la visibilidad continua de cargas, automatización de escaneos y remediaciones, y gobernanza colaborativa.

Lea también: Perú lidera el ranking de detecciones de amenazas cibernéticas en Latinoamérica

Finalmente, enfatizó que la clave está en encontrar el equilibrio entre innovación y seguridad. “Solo así las organizaciones podrán aprovechar el potencial de la inteligencia artificial sin convertirse en víctimas de sus propias innovaciones”, concluyó. Actualmente, el 70% de las cargas de trabajo de IA en la nube tienen al menos una vulnerabilidad no corregida.

Datos

77% de las organizaciones usan cuentas predeterminadas con privilegios excesivos.

30% están expuestas a la vulnerabilidad crítica CVE-2023-38545 (relacionada con Curl).

5% de organizaciones tiene buckets con permisos en exceso.