En un contexto de explotación de vulnerabilidades de software a un ritmo alarmante, el concurso AI Cyber ​​Challenge (AIxCC) de la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) llega a su fase de semifinales, y el sector sanitario está mostrando un gran interés en los resultados de la competición. El AIxCC reúne a expertos en IA y ciberseguridad para crear nuevos sistemas de IA que puedan salvaguardar el software de código abierto fundamental para la vida moderna. En última instancia, a través del AIxCC, la DARPA está explorando si la IA puede ayudar a encontrar y solucionar vulnerabilidades de software de forma más eficaz y marcar el comienzo de un futuro en el que podamos detener los ataques tan rápido como los detectemos. La competición se lanzó por primera vez en 2023 y otorgará un total de 29,5 millones de dólares en premios a los equipos con los mejores sistemas. En declaraciones a Infosecurity, la directora de la oficina de innovación de la información de DARPA, Kathleen Fisher, confirmó que la Agencia de Proyectos de Investigación Avanzada para la Salud (ARPA-H) se unió para apoyar a AIxCC en febrero de 2024. «Están súper motivados debido a los ataques de ransomware en el sector de la salud y la cantidad de deuda técnica que hay en los hospitales y en los dispositivos médicos. Si una de las hipótesis técnicas [of AXiCC] demuestra que podría aplicarse a [healthcare] «La tecnología para encontrar e identificar soluciones que luego se envían a la industria de la salud». Fisher dijo que ha estado hablando con representantes de sectores de infraestructura crítica y una de las cosas que dijeron en respuesta a la competencia AXiCC es que están contentos de que no solo tenga como objetivo identificar errores, sino que también busque proporcionar soluciones. La explotación de vulnerabilidades como paso de acceso inicial para una violación aumentó un asombroso 180% entre 2022 y 2023, según el Informe de investigaciones de violación de datos de 2024 (DBIR) de Verizon. Fisher señaló que el desafío aún podría fallar en sus objetivos técnicos, pero si tiene éxito, dijo que DARPA buscaría hablar con clientes potenciales sobre cómo podrían usar esta tecnología. En el lanzamiento de AIxCC en 2023, DARPA confirmó que Anthropic, Google, Microsoft y OpenAI pondrían sus tecnologías a disposición y aportarían su experiencia para ayudar a los competidores. Fisher dijo que contar con el respaldo de estas empresas era importante porque una hipótesis clave del programa es que los modelos de IA de última generación emparejados con sistemas de razonamiento cibernético permitirían encontrar y reparar las vulnerabilidades. «El acceso a esos modelos es una parte fundamental para probar la hipótesis técnica», dijo. El software de infraestructura crítica es de especial interés para el gobierno de Estados Unidos. Leer más: Jack Cable de CISA analiza el impulso de EE. UU. para un software más seguro El enfoque del gobierno de EE. UU. En el software seguro La competencia se alinea con muchas otras iniciativas y promesas del gobierno de EE. UU. Que tienen como objetivo abordar el flagelo de la explotación de vulnerabilidades de software. Junto con esto, la Estrategia Nacional de Ciberseguridad 2023 de la Casa Blanca busca explícitamente trasladar la responsabilidad de seguridad de los usuarios finales a aquellos mejor ubicados para asumir esa carga, incluidos los fabricantes de software. Mientras tanto, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) desarrolló una iniciativa Secure by Design en abril de 2023 para explicar cómo los fabricantes de software pueden garantizar que la seguridad esté incorporada en sus productos. En mayo de 2024 se anunció un compromiso de seguridad por diseño, que alentaba a los fabricantes a comprometerse a avanzar en una serie de principios de seguridad por diseño. Fisher está totalmente de acuerdo con los principios de seguridad por diseño y la DARPA está al tanto de lo que están haciendo otras agencias, pero dijo que la DARPA no siempre se alinea necesariamente con otras agencias gubernamentales en lo que respecta a las hojas de ruta. “La DARPA no se coordina muy bien. Somos conscientes y, a veces, brindamos comentarios, asistimos a reuniones… pero la DARPA no hace hojas de ruta, la DARPA hace innovaciones técnicas que hacen estallar las hojas de ruta de otras organizaciones”, comentó.