Medidas para reducir los riesgos de ataque por el uso de la IA

La Inteligencia Artificial no entra sola: qué riesgos aparecen cuando le damos acceso a mails, archivos y calendarios

https://www.itsitio.com
Por: José Aguirregabiria

Mario Micucci, Investigador de Seguridad Informática de ESET, analiza cómo el avance de asistentes conectados a plataformas digitales amplía la superficie de ataque, expone información sensible y qué medidas pueden tomarse para reducir los riesgos.

Cada vez más usuarios conectan asistentes de Inteligencia Artificial con correos electrónicos, navegadores, documentos, calendarios y aplicaciones de trabajo para automatizar tareas diarias.

Lo que hasta hace poco parecía una simple herramienta de consulta empieza a transformarse en un sistema con acceso real a buena parte de la vida digital de las personas y las empresas. Y ahí es donde especialistas en ciberseguridad empiezan a encender las alertas.

El fenómeno se aceleró en los últimos meses con el auge de integraciones alrededor de herramientas como Anthropic Claude y OpenAI ChatGPT. En redes sociales abundan tutoriales, extensiones y conectores que prometen transformar estos asistentes en verdaderos “copilotos digitales” capaces de leer mails, resumir documentos, organizar agendas o interactuar con distintas aplicaciones.

Sin embargo, detrás de esa comodidad aparecen nuevas superficies de ataque que empiezan a preocupar tanto a usuarios individuales como a empresas.

Mario Micucci, Investigador de Seguridad Informática de ESET, explicó que el principal cambio está en el nivel de acceso que empiezan a tener estas plataformas sobre la vida digital de las personas.

“La IA deja de ser solo una herramienta de consulta y pasa a convertirse en un intermediario con acceso a datos y acciones”, señaló.

Según el especialista, cuando un asistente puede leer correos, consultar archivos, acceder al calendario o navegar sitios web, el riesgo ya no se limita únicamente a la privacidad de la conversación. El problema pasa a ser mucho más amplio.

“Cuando un asistente puede leer correos, navegar páginas, consultar documentos, acceder al calendario o interactuar con aplicaciones, aumenta mucho la superficie de ataque”, advirtió Micucci.

Qué pasa cuando usamos extensiones y conectores no oficiales

Uno de los puntos que más preocupa a los especialistas es la proliferación de extensiones, plugins y conectores no oficiales que prometen potenciar las capacidades de asistentes de IA.

Muchas de estas herramientas ofrecen automatización de tareas, resúmenes de correos, integración con plataformas colaborativas o acceso rápido a documentos. El problema es que, para funcionar, suelen solicitar permisos extremadamente amplios.

“Un conector no oficial puede actuar como un puente entre la IA y datos altamente sensibles, pero sin las garantías de seguridad, privacidad, auditoría o control de permisos que debería tener una integración legítima”, explicó Micucci.

El investigador advirtió además que el boom de la inteligencia artificial ya está siendo aprovechado por ciberdelincuentes mediante campañas maliciosas especialmente diseñadas para explotar el interés masivo por estas tecnologías.

“Campañas de phishing más convincentes, sitios falsos que simulan herramientas de IA, extensiones maliciosas que prometen potenciar asistentes, instaladores falsos y malware disfrazado de aplicaciones de productividad”, sostuvo.

Cuando la Inteligencia Artificial tiene acceso a todo

Uno de los aspectos más delicados del nuevo escenario tecnológico aparece cuando una herramienta de IA obtiene acceso simultáneo a múltiples plataformas y fuentes de información.

Correos electrónicos, documentos internos, reuniones, calendarios, aplicaciones de mensajería y repositorios corporativos pueden terminar centralizados bajo un mismo asistente digital.

Para Micucci, el riesgo crece justamente por la capacidad de correlacionar datos.

“Un dato aislado puede no ser sensible, pero combinado con otros puede revelar información crítica”, explicó.

El especialista ejemplificó que un correo puede contener detalles sobre una negociación, mientras que un documento puede incluir precios y el calendario revelar reuniones vinculadas a un acuerdo comercial.

A esto se suma otro fenómeno cada vez más observado en el mundo de la seguridad informática: las llamadas “prompt injections”, instrucciones maliciosas ocultas dentro de documentos, páginas o correos electrónicos que buscan manipular el comportamiento del asistente de IA.

“El problema no es únicamente que el modelo vea información sensible, sino que puede procesar instrucciones maliciosas escondidas en correos, documentos, páginas web o archivos”, indicó.
Permisos excesivos: el punto ciego al conectar una IA

La discusión ya no gira únicamente alrededor de qué datos comparte voluntariamente un usuario, sino también sobre qué permisos concede a herramientas que actúan en su nombre.

Según el investigador de ESET, otorgar acceso amplio a correos, archivos o historial de navegación puede derivar en escenarios mucho más complejos que una simple filtración de datos.

“Cuando una herramienta tiene permisos de lectura y escritura, el riesgo no es solo la exposición de información. También puede haber modificación de archivos, envío de correos no autorizados, creación de eventos falsos o descarga de archivos maliciosos”, detalló.

En entornos corporativos, las consecuencias pueden escalar rápidamente hacia fuga de información, fraude interno o compromiso de cuentas.

Por eso, los expertos recomiendan prestar atención a determinadas señales antes de instalar cualquier integración relacionada con inteligencia artificial.

Shadow AI en las empresas: el uso de herramientas de inteligencia artificial sin control del área de IT preocupa cada vez más a especialistas en ciberseguridad.

Entre las principales alertas aparecen:

• permisos desproporcionados;
• desarrolladores desconocidos;
• extensiones fuera de tiendas oficiales;
• falta de política de privacidad;
• promesas excesivamente amplias sobre automatización y productividad.

“Una integración que accede a correos, documentos o historial de navegación debería explicar qué datos recolecta, dónde los procesa, si son compartidos con terceros y cómo se pueden revocar los permisos”, señaló Micucci.

Shadow AI: cuando los empleados usan IA sin control de la empresa

El avance acelerado de la IA generativa también abrió una preocupación creciente dentro del mundo corporativo: el fenómeno conocido como “shadow AI”.

El término hace referencia al uso de herramientas de inteligencia artificial sin aprobación ni supervisión formal por parte de las áreas de IT o ciberseguridad.

“El principal riesgo es perder visibilidad y control sobre la información corporativa”, explicó Micucci.

Según el especialista, muchas organizaciones todavía no lograron adaptar políticas, controles y procesos internos a la velocidad con la que se expandieron estas plataformas.

“El problema no es que los empleados usen IA, sino que lo hagan sin lineamientos, clasificación de datos, revisión de proveedores o controles técnicos”, afirmó.

La preocupación crece porque estos asistentes no solo procesan información, sino que también pueden automatizar tareas, generar contenido y conectarse simultáneamente con múltiples aplicaciones empresariales.

Cómo darle acceso a la IA sin perder el control

Frente a este escenario, los especialistas insisten en que el desafío no pasa por evitar la inteligencia artificial, sino por utilizarla con criterios de seguridad adecuados.

Para Micucci, una de las claves principales es aplicar el principio de mínimo privilegio.

“Una herramienta de IA solo debería tener acceso a los datos y funciones estrictamente necesarios”, explicó.

El investigador también recomendó utilizar únicamente integraciones oficiales o aprobadas por las organizaciones, revisar cuidadosamente los permisos antes de instalar extensiones y revocar accesos que ya no sean necesarios.

Finalmente, dejó una advertencia que resume el nuevo paradigma tecnológico alrededor de la IA conectada.

“No son simples chats: cuando tienen acceso a aplicaciones, archivos y acciones, deben gestionarse con los mismos criterios de seguridad que cualquier otra aplicación crítica”, concluyó.

Read more...

Vietnam: Toman medidas para garantizar la seguridad de los documentos durante temporada de tormentas de 2025

El Presidente del Comité Popular Provincial ordenó: Fortalecer la protección de los archivos durante la temporada de lluvias y tormentas

https://www.vietnam.vn/

El Presidente del Comité Popular Provincial acaba de ordenar a los departamentos, sucursales y localidades que implementen de manera proactiva medidas para preservar registros y documentos; reforzar los archivos, verificar los sistemas de electricidad, drenaje y árboles, etc. para minimizar los daños y garantizar la seguridad de los documentos durante la temporada de tormentas de 2025.

El Presidente del Comité Popular Provincial solicitó a los departamentos provinciales, sucursales, sectores y comités populares de comunas y barrios que, con base en sus funciones y tareas, fortalezcan la propaganda, difusión y educación para funcionarios públicos, empleados públicos y trabajadores de agencias y organizaciones sobre la preservación segura de registros y documentos durante la temporada de tormentas; monitoreen y actualicen proactivamente los desarrollos de tormentas e inundaciones en los medios de comunicación para proteger y garantizar proactivamente la seguridad de los registros y documentos y minimizar los daños causados ​​por tormentas e inundaciones.

Los jefes de agencias y organizaciones deben organizar fuerzas y desarrollar planes para proteger las salas y archivos; mover o colocar documentos y archivos en estantes altos, no cerca de ventanas o lugares que puedan mojarse; verificar, monitorear, prevenir, reparar y fortalecer los sistemas de puertas, sistemas eléctricos, protección contra rayos y sistemas de conexión a tierra seguros, sistemas de drenaje y árboles en las sedes de agencias y organizaciones.

En caso de daño o pérdida de registros y documentos causados ​​por tormentas, es necesario informar rápidamente al Presidente del Comité Popular Provincial (a través del Departamento del Interior) para su consideración y orientación para remediar el daño.

El Presidente del Comité Popular Provincial encargó al Departamento del Interior supervisar, instar, recordar e inspeccionar a los organismos, unidades y localidades en la ejecución; asesorar con prontitud al Presidente del Comité Popular Provincial para rectificar y manejar los casos de ejecución que no cumplan con las regulaciones.

Fuente: https://www.camau.gov.vn/van-hoa-xa-hoi/chu-tich-ubnd-tinh-chi-dao-tang-cuong-bao-ve-an-toan-tai-lieu-luu-tru-trong-mua-mua-bao-288014

Read more...

FBI en conversaciones con Google y Apple sobre encriptado de información

El director del FBI dice que los funcionarios han estado en conversaciones con Google, Apple más nuevas políticas de cifrado del dispositivo
http://9to5google.com/ 28/09/2014

Director de la Oficina Federal de Investigaciones James Comey expresó su preocupación hoy por la decisión de Apple y de Google para encriptar la información almacenada en los teléfonos inteligentes, el Huffington Post informa , y agregó que los funcionarios del FBI están presionando a ambas compañías a cambiar sus políticas con el fin de permitir a los funcionarios encargados de hacer cumplir la ley para datos de acceso en ciertos casos.

"Yo soy un gran creyente en el Estado de Derecho, pero también soy un creyente de que nadie en este país está por encima de la ley", Comey dijo a los periodistas en la sede del FBI en Washington. "Lo que me preocupa de esto es las empresas que comercializan algo expresamente para permitir que la gente se colocan encima de la ley."

En el caso del fabricante del iPhone, el CEO de Apple, Tim Cook utiliza postura privacidad de la compañía como un punto fundamental para su comercialización en un número de ocasiones en el último mes.

A principios de este mes durante una entrevista con Charlie Rose , Cook precisó que la información del usuario se cifra fuera del alcance de Apple: No estamos de leer su correo electrónico, no estamos leyendo tus iMessages. Si el gobierno puso una orden de comparecencia en nosotros para conseguir sus iMessages, no podemos proporcionarlo. Está encriptado y no tenemos la llave.

Después de esa entrevista, Apple publicó una carta abierta sobre la privacidad del CEO junto a un actualizado sitio web dedicado a la presentación de la política de Apple sobre la privacidad del usuario y los datos relativos a las solicitudes de información del gobierno. Para Apple, el impulso hacia destacando la privacidad del usuario se produjo después de una serie de celebridades encontraron el blanco de filtrados, fotografías íntimas que se accede a través de servicios de Apple . Apple tiene ya intensificado ciertas medidas de seguridad incluyendo las notificaciones a los usuarios cuando se accede a iCloud.com. Google rápidamente siguió con anuncios similares características para que lleguen pronto en Android.

El director del FBI Comey citó ejemplos como los casos de secuestro y el terrorismo de las autoridades policiales razones tendría que tener acceso a los datos del usuario almacenados en los teléfonos inteligentes.

Read more...

Inseguridad de los documentos a través de la impresión en el sector bancario

5 medidas de seguridad documental para el sector bancario
http://www.sunotadeprensa.com/ 17/01/2014

Cada año del 7 al 15% de la información de una empresa es robada o filtrada, y de esta información, casi la mitad, se extrae por medios físicos a través de documentos digitalizados, impresos, copiados o enviados por fax.

El sector de la banca no es ajeno a esta realidad. Debido a la información crítica que maneja de forma habitual, los sistemas tecnológicos y los dispositivos físicos, deben contar con medidas de seguridad avanzadas, que garanticen en todo momento la seguridad de los datos. “Estamos acostumbrados a que nos adviertan sobre las amenazas informáticas de hackers y virus que roban información confidencial, pero nos hemos olvidado de que la misma información que tenemos en los sistemas, la podemos imprimir y sacarla de empresa en forma de documento” comenta Antonio Ramírez, Marketing Manager de Konica Minolta.

Ante esta realidad, desde Konica Minolta, especializada en el diseño y producción de dispositivos de impresión de tecnología avanzada, se han identificado 5 factores críticos a tener en cuenta en la gestión documental, desde la máquina y los sistemas de archivo digital, para garantizar la confidencialidad y seguridad de los datos de una entidad bancaria.

1. Las impresoras deben estar equipadas con tecnología capaz identificar en tiempo real cualquier documento gestionado de forma física, y relacionándolo con el usuario, detectar de forma inmediata si el contenido de puede ser usado por la persona que reproduce el documento. De esta forma se podrá impedir que sea emitido en caso de ser necesario.

2. Los dispositivos deben contar con tecnología de tracking o seguimiento de documento. Esta tecnología incorpora en el propio documento físico un sistema de rastreo que permite saber en todo momento dónde está. Además incluye información de quién fue el usuario que lo reprodujo en formato físico.

3. Deben además incorporar sistemas de identificación de usuario y gestión de niveles de seguridad para el uso de los dispositivos de impresión, copia o almacenamiento. Se trata de tecnologías que permiten definir diferentes perfiles de usuario, con capacidades de uso y reproducción de documentos predeterminadas. Estos sistemas impiden y controlan el acceso a la documentación confidencial y pueden verificarse contra los directorios activos y similares para garantizar la mayor seguridad.

4. Debido a la ampliación continua de las funcionalidades de los dispositivos de impresión, que actualmente son capaces de almacenar información como si fueran un ordenador; las impresoras deben estar equipadas conprotocolos y herramientas de encriptación de información que guarda de forma temporal o permanente, y que pasen los controles de seguridad y calidad de organismos como la OTAN o la NSA.

5. Otro aspecto de la seguridad a tener en cuenta es la seguridad de los documentos electrónicos en torno a tres aspectos: su integridad, su vulnerabilidad y su confidencialidad. Por este motivo, el sector bancario debe incorporar sistemas capaces de gestionar versionados, notificaciones, contar con un registro de acceso, que cumpla con aspectos legales como firma electrónica de documentos críticos, o sistemas de identificación y acceso como código pin, huella biométrica o digital, o DNI electrónico.

La gestión documental no se ciñe a la gestión de documentos en formato digital, sino que empieza en la propia impresora, que cada vez más se parece a la CPU de un ordenador con capacidad para almacenar datos. Por este motivo, las medidas de seguridad que deben contemplar las entidades bancarias deben incluir soluciones avanzadas de impresión que aseguren la integridad de la información confidencial que manejan. En este sentido los dispositivos de Konica Minolta cuentan con tecnologías avanzadas de encriptación de información, identificación de usuario y seguimiento de documentos que permiten a cualquier entidad conocer, en tiempo real, la situación de cada documento; así como adaptar los niveles de seguridad a cada usuario para la impresión, reproducción y gestión de la Información más crítica de la entidad.

Detalles del contacto:
SIM SL

Madrid
Web: http://www.marketingsim.com

Read more...