Contenido Exclusivo

Copilot e IA generativa: exposición de datos puede llevar a deep fakes corporativos

Recientemente, Microsoft anunció el lanzamiento de Copilot, un asistente de Inteligencia Artificial destinado a ayudar a los usuarios a obtener más agilidad en el uso de la suite Microsoft 365. La solución, de acuerdo con analistas, tiene el potencial de causar un considerable cambio en el trabajo administrativo con la automatización de tareas que van de la respuesta a un email a una propuesta comercial. El problema, sin embargo, está en el acceso a los datos y en el potencial del uso de la propia IA para invasiones cada vez más sofisticadas.

Para que la IA generativa de Microsoft funcione cumpliendo su promesa, es necesario que la herramienta acceda a todos los datos generados por los usuarios en el 365 – de esta manera, las informaciones pueden ser buscadas y compiladas para la generación de insights, respuestas, etc. Considerando que cerca de un 10% de las informaciones de una empresa está abierta a todos los empleados, tenemos aquí dos ingredientes que pueden ocasionar una ruptura en la seguridad a un nivel no visto anteriormente: el envenenamiento del modelo de la IA , el suministro de datos equivocados (un fenómeno que se ha denominado alucinación) y la creación de deep fakes para ingeniería social, con una capacidad inédita de extracción de datos – tanto del propio sistema, como del usuario.

Cómo funciona el modelo de seguridad de Microsoft 365 Copilot

Lógicamente, todo lo que involucra la seguridad con relación a los productos Microsoft es un punto de preocupación. Y no es porque el sistema es falible: es la suite de productos de oficina más usada en el mundo. Consecuentemente, es uno de los sistemas que más sufre con potenciales ataques de cibercriminales. Existen puntos positivos y negativos con relación a la seguridad de Copilot.

Uno de los puntos positivos es que el modelo de la IA va a trabajar con datos del propio tenant de la empresa. Esto significa que, al usar Copilot, la IA va a aprender solamente con los datos de la empresa – y no va a cruzar datos de otros tenants. El otro punto importante en seguridad es que Copilot no usa ningún dato de negocio para entrenar la IA – o sea, informaciones más estratégicas están protegidas.

En compensación, existen algunas cuestiones que preocupan. Por ejemplo, la autorización. Copilot logra observar todos los datos de la organización como mínimo con la autorización de lectura. Otro punto es que Copilot, al generar nuevos datos a partir de los ya existentes no usa las etiquetas MPIP creadas anteriormente. Esto es un punto complicado: MPIP (Microsoft Information Protection, en la sigla en inglés), es la solución de Microsoft para la protección de datos confidenciales, incorporada en la solución 365.

Por último – y este es un problema recurrente en la IA – no se puede garantizar que el dato generado es 100% factual o seguro. Al final, el trabajo de chequeo debe hacerlo un humano.
 

Cómo contornar estos problemas

La cuestión de la autorización es un punto sensible en los productos Microsoft. Hoy, el exceso de autorizaciones por usuario es uno de los principales problemas enfrentados por las empresas. En una escala masiva, es casi imposible gestionar autorizaciones de manera adecuada sin herramientas de terceros. Lo ideal sería que las empresas lograran imponerle el menor privilegio posible a Copilot.

En el tema de las etiquetas MPIP, Microsoft depende mucho de esa información para imponer políticas de DLP, aplicar encriptados y prevenir ampliamente los filtrados de datos. En la práctica, sin embargo, hacer que las etiquetas funcionen es difícil, especialmente si uno depende de humanos para aplicar estas etiquetas.

Bloquear o encriptar datos puede agregarles fricción a los flujos de trabajo, y las tecnologías de etiquetado quedan limitadas a tipos de archivos específicos. Cuanto más etiquetas tenga una organización, más confuso podrá volverse tal sistema para los usuarios. Ahora, imagínense este problema a larga escala.

La eficiencia de la protección de datos basada en etiquetas seguramente disminuirá cuando tengamos IA generando muchos más datos que exigen etiquetas precisas y con actualización automática.

O sea: es fundamental tener una noción de la postura de seguridad de datos antes de la implementación de Copilot. Con o sin Inteligencia Artificial, es necesario asegurar que las informaciones que transitan por Microsoft 365 estén seguras – de lo contrario, la IA será solo una herramienta más en manos de delincuentes – que lograrán hacer sus ataques cada vez más sofisticados y creíbles.

Carlos Rodrigues, VP Latam de Varonis

Lo Más Reciente

Introduce DispatchTrack soluciones SaaS para logística de última milla

La empresa de soluciones de logísticas DispatchTrack presentó en...

Guía para que las mujeres destaquen en el mundo tech

Muchas mujeres jóvenes enfrentan retos importantes en México, cuando...

Madurez digital: clave para las empresas en la era de la IA

Hoy en día, la transformación digital ya no es...

Newsletter

Recibe lo último en noticias e información exclusiva.

“Elevamos el nivel de seguridad de los sistemas de procesamiento de pagos”: Miriam Mostranzo, Directora de Seguridad de la Información de Ualá

“Queríamos certificar a todo el banco para cumplir con los estándares de seguridad internacionales. Pero más allá de eso, logramos garantizar la seguridad tanto...

Introduce DispatchTrack soluciones SaaS para logística de última milla

La empresa de soluciones de logísticas DispatchTrack presentó en México innovaciones tecnológicas para los retos de la última milla en México. Se trata de soluciones...

Guía para que las mujeres destaquen en el mundo tech

Muchas mujeres jóvenes enfrentan retos importantes en México, cuando buscan adentrarse en el mundo tech y es esencial compartir algunas recomendaciones, que puedan acompañarlas...