Novedades
Guía práctica del CCN-CERT para hacer frente a la IA ofensiva
La guía BP/36 del CCN-CERT aborda uno de los ámbitos de mayor actualidad en ciberseguridad: el uso de inteligencia artificial para automatizar y acelerar ataques
- Ofrece recomendaciones prácticas para organizaciones públicas y privadas sobre gestión de riesgos, gobernanza, agentes de IA y resiliencia tecnológica
- El apartado de IA agéntica complementa las orientaciones publicadas por la AEPD sobre los riesgos para la privacidad de sistemas basados en agentes de IA
El Centro Criptológico Nacional (CCN-CERT) ha publicado la guía BP/36, Guía de buenas prácticas frente al modelo de IA ofensiva, un documento para comprender cómo la evolución de la inteligencia artificial está transformando la ciberseguridad y cuáles son las medidas que las organizaciones públicas y privadas pueden adoptar para reforzar su preparación frente a estos nuevos escenarios.
La guía puede consultarse en este enlace (BP/36, Guía de buenas prácticas frente al modelo de IA ofensiva)
Desde la Agencia Española de Protección de Datos (AEPD) destacamos el interés de esta publicación y felicitamos al Centro Criptológico Nacional por una iniciativa que aborda una cuestión de relevancia para administraciones públicas, empresas y profesionales de la seguridad y del cumplimiento normativo.
Uno de los principales aciertos de la guía es situar el foco en un fenómeno que está modificando profundamente el escenario de amenazas. Como recoge el documento, la denominada IA ofensiva no supone necesariamente la aparición de técnicas completamente nuevas, sino la capacidad de automatizar, acelerar y ampliar a gran escala ataques ya conocidos, reduciendo significativamente los tiempos de reacción disponibles para las organizaciones.
La guía analiza de forma detallada los riesgos asociados al phishing avanzado, la utilización de deepfakes para la suplantación de identidad, la generación automatizada de código malicioso, la explotación acelerada de vulnerabilidades, el reconocimiento masivo de objetivos mediante IA y los ataques dirigidos contra sistemas basados en modelos de lenguaje.
El documento examina cómo la progresiva incorporación de sistemas capaces de ejecutar acciones con distintos grados de autonomía (IA agéntica) introduce nuevos retos relacionados con la supervisión, la trazabilidad, el control de accesos, la gestión de permisos y la gobernanza de estos entornos.
Junto a este análisis, la publicación ofrece una visión práctica, con recomendaciones dirigidas a reforzar la gestión de vulnerabilidades, la protección de identidades, la seguridad del ciclo de vida del desarrollo, la supervisión de proveedores, la protección de entornos operativos y la utilización segura de agentes de inteligencia artificial.
La guía también destaca la necesidad de integrar la seguridad técnica, la gestión de riesgos y los mecanismos de gobernanza en el despliegue de sistemas de inteligencia artificial, promoviendo enfoques basados en la supervisión continua, la resiliencia y la seguridad desde el diseño.
Las cuestiones abordadas en esta publicación presentan un evidente interés para la Agencia Española de Protección de Datos, que ha publicado distintos recursos y materiales dedicados a la inteligencia artificial y sus implicaciones desde la perspectiva de la privacidad y la gobernanza de datos.
Estos recursos pueden consultarse en:
https://www.aepd.es/areas-de-actuacion/innovacion-y-tecnologia#IA
En particular, la atención que la guía del CCN-CERT presta a la IA agéntica complementa las orientaciones publicadas por la Agencia sobre riesgos para la privacidad en sistemas basados en agentes de inteligencia artificial. Ambos documentos abordan perspectivas distintas pero complementarias sobre una misma realidad: la necesidad de comprender y gestionar adecuadamente los riesgos asociados a sistemas cada vez más autónomos y con mayor capacidad de interacción con datos, aplicaciones y entornos digitales.
La publicación del CCN-CERT constituye una aportación de gran utilidad para comprender cómo está evolucionando el panorama de amenazas asociado a la inteligencia artificial y para identificar medidas organizativas, técnicas y de gobernanza que contribuyan a mejorar la preparación y resiliencia de organizaciones públicas y privadas.
Por todo ello, la guía resulta especialmente recomendable para responsables de seguridad, responsables tecnológicos, profesionales del cumplimiento normativo, personas delegadas de protección de datos y todas aquellas interesadas en los desafíos que plantea la inteligencia artificial en el ámbito de la ciberseguridad.