El Instituto de Seguridad de IA del Reino Unido ha lanzado una plataforma de prueba gratuita y de código abierto que evalúa la seguridad de nuevos modelos de IA. Apodado Inspect, el conjunto de herramientas debería proporcionar un «enfoque coherente» hacia la creación de aplicaciones seguras de IA en todo el mundo. Inspect es la primera plataforma de pruebas de seguridad de IA creada por un organismo respaldado por el estado y que se pone a disposición del público de forma gratuita. En última instancia, acelerará las mejoras en el desarrollo de modelos seguros de IA y la eficacia de las pruebas de seguridad. Cómo utilizar la biblioteca de software Inspect La biblioteca de software Inspect, lanzada el 10 de mayo, se puede utilizar para evaluar la seguridad de las características de un modelo de IA, incluidos sus conocimientos básicos, su capacidad de razonamiento y sus capacidades autónomas, de forma estandarizada. Inspect proporciona una puntuación basada en sus hallazgos, que revela qué tan seguro es el modelo y qué tan efectiva fue la evaluación. Como el código fuente de Inspect es de acceso abierto, la comunidad mundial de pruebas de IA, incluidas empresas, centros de investigación y gobiernos, puede integrarlo con sus modelos y obtener información de seguridad esencial de forma más rápida y sencilla. VER: Las 5 principales tendencias de IA a tener en cuenta en 2024 El presidente del AI Safety Institute, Ian Hogarth, dijo que el equipo de Inspect se inspiró en los principales desarrolladores de IA de código abierto para crear un bloque de construcción hacia un «enfoque compartido y accesible para las evaluaciones». Dijo en el comunicado de prensa: «Esperamos ver a la comunidad global de IA utilizando Inspect no solo para llevar a cabo sus propias pruebas de seguridad de modelos, sino también para ayudar a adaptar y desarrollar la plataforma de código abierto para que podamos producir evaluaciones de alta calidad en todo el mundo». junta.» La Secretaria de Estado de Ciencia, Innovación y Tecnología, Michelle Donelan, añadió que la IA segura mejorará varios sectores en el Reino Unido, desde «nuestro NHS hasta nuestra red de transporte». El AISI, junto con el grupo de expertos Incubadora de Inteligencia Artificial y la oficina del Primer Ministro Rishi Sunak, también está reclutando talentos en IA para probar y desarrollar nuevas herramientas de seguridad de IA de código abierto. Inspect: lo que los desarrolladores necesitan saber Puede encontrar una guía sobre cómo utilizar el kit de herramientas Inspect en su formato básico en GitHub del gobierno del Reino Unido. Sin embargo, el software viene con una licencia MIT que permite copiarlo, modificarlo, fusionarlo, publicarlo, distribuirlo, venderlo y otorgarle sublicencias; esto significa que cualquiera puede modificar o agregar nuevos métodos de prueba al script a través de paquetes Python de terceros para mejorar sus capacidades. Los desarrolladores que deseen utilizar Inspect primero deben instalarlo y asegurarse de tener acceso a un modelo de IA. Luego pueden crear un script de evaluación utilizando el marco Inspect y ejecutarlo en el modelo que elijan. Inspect evalúa la seguridad de los modelos de IA utilizando tres componentes principales: Conjuntos de datos de escenarios de prueba de muestra para evaluación, incluidas indicaciones y resultados objetivo. Solucionadores que ejecutan los escenarios de prueba utilizando el símbolo del sistema. Puntuadores que analizan el resultado de los solucionadores y generan una puntuación. Se puede acceder al código fuente a través del repositorio GitHub del gobierno del Reino Unido. Más cobertura de IA de lectura obligada Lo que dicen los expertos sobre Inspect La respuesta general al anuncio de Inspect en el Reino Unido ha sido positiva. El director ejecutivo de la plataforma comunitaria de inteligencia artificial, Hugging Face, Clément Delangue, publicó en X que está interesado en crear una “tabla de clasificación pública con resultados de las evaluaciones” de diferentes modelos. Una tabla de clasificación de este tipo podría mostrar las IA más seguras y alentar a los desarrolladores a utilizar Inspect para que sus modelos puedan clasificarse. Linux Foundation Europe también publicó que el código abierto de Inspect «se alinea perfectamente con nuestro llamado a una mayor innovación de código abierto por parte del sector público». Deborah Raji, investigadora de Mozilla y especialista en ética de la IA, lo calificó como un «testimonio del poder de la inversión pública en herramientas de código abierto para la responsabilidad de la IA» en X. Los avances del Reino Unido hacia una IA más segura El AISI del Reino Unido se lanzó en la Cumbre de Seguridad de la IA. en noviembre de 2023 con los tres objetivos principales de evaluar los sistemas de IA existentes, realizar investigaciones fundamentales sobre la seguridad de la IA y compartir información con otros actores nacionales e internacionales. Poco después de la cumbre, el Centro Nacional de Seguridad Cibernética del Reino Unido publicó directrices sobre la seguridad de los sistemas de IA junto con otras 17 agencias internacionales. Con la explosión de las tecnologías de IA en los últimos dos años, existe una necesidad imperiosa de establecer y hacer cumplir estándares sólidos de seguridad de IA para prevenir problemas como prejuicios, alucinaciones, violaciones de la privacidad, violaciones de la propiedad intelectual y uso indebido intencional, que podrían tener consecuencias sociales y económicas más amplias. . VER: Definición de IA generativa: cómo funciona, beneficios y peligros En octubre de 2023, los países del G7, incluido el Reino Unido, publicaron el código de conducta de IA ‘Hiroshima’, que es un enfoque basado en riesgos que tiene como objetivo «promover la seguridad y la protección». y confiable en todo el mundo y brindará orientación voluntaria para las acciones de las organizaciones que desarrollan los sistemas de IA más avanzados”. En marzo de este año, las naciones del G7 firmaron un acuerdo comprometiéndose a explorar cómo la inteligencia artificial puede mejorar los servicios públicos e impulsar el crecimiento económico. También cubrió el desarrollo conjunto de un conjunto de herramientas de IA para informar la formulación de políticas y garantizar que la IA utilizada por los servicios del sector público sea segura y confiable. El mes siguiente, el gobierno del Reino Unido acordó formalmente trabajar con Estados Unidos en el desarrollo de pruebas para modelos avanzados de inteligencia artificial. Ambos países acordaron «alinear sus enfoques científicos» y trabajar juntos para «acelerar e iterar rápidamente conjuntos sólidos de evaluaciones para modelos, sistemas y agentes de IA». Esta acción se tomó para mantener los compromisos establecidos en la primera Cumbre mundial de seguridad de IA, donde gobiernos de todo el mundo aceptaron su papel en las pruebas de seguridad de la próxima generación de modelos de IA.
Etiqueta: Reino Unido Página 1 de 3
El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y otras autoridades cibernéticas internacionales, incluida la Oficina Federal de Investigaciones (FBI), han advertido sobre ataques hacktivistas prorrusos dirigidos a proveedores de tecnología operativa. OT es hardware y software que interactúa con el entorno físico e incluye medidores de agua inteligentes, sistemas de riego automatizados, sistemas de monitoreo de presas, redes inteligentes y sensores de IoT para agricultura de precisión. En la alerta publicada el 1 de mayo, las autoridades cibernéticas brindan asesoramiento a los proveedores de OT a la luz de la “actividad cibernética maliciosa continua” entre 2022 y abril de 2024. Los organismos autores han observado intentos de comprometer sistemas OT a pequeña escala que brindan infraestructura crítica en el Norte. América y Europa. Los sectores objetivo incluyen sistemas de agua y aguas residuales, represas, energía y alimentación y agricultura. Otros organismos que contribuyeron a la alerta incluyen; Agencia de Seguridad Nacional (NSA). Agencia de Protección Ambiental (EPA). Departamento de Energía (DOE). Departamento de Agricultura de los Estados Unidos (USDA). Administración de Alimentos y Medicamentos (FDA). Centro de análisis e intercambio de información multiestatal (MS-ISAC). Centro Canadiense de Seguridad Cibernética (CCCS). «Este año hemos observado que los hacktivistas prorrusos amplían sus objetivos para incluir los vulnerables sistemas de control industrial de América del Norte y Europa», dijo Dave Luber, director de ciberseguridad de la NSA, en un comunicado de prensa. «La NSA recomienda encarecidamente que los administradores de OT de las organizaciones de infraestructura crítica implementen las mitigaciones descritas en este informe, especialmente cambiando las contraseñas predeterminadas, para mejorar su postura de ciberseguridad y reducir la vulnerabilidad de su sistema a este tipo de ataques». VER: CISA apunta a una seguridad de software de código abierto más sólida para el gobierno y las infraestructuras críticas Los hacktivistas solo crean «efectos molestos» después de acceder a dispositivos OT Los hacktivistas prorrusos explotan tanto el software de acceso remoto de computación en red virtual como las contraseñas predeterminadas para acceder a los componentes de software de Internet. sistemas de control industrial expuestos asociados con dispositivos OT. Una vez que el ICS se ve comprometido, en gran medida sólo crean “efectos molestos”. Por ejemplo, algunas víctimas del WWS radicadas en EE. UU. informaron que se les había alterado la configuración de sus bombas de agua y sopladores para “exceder sus parámetros operativos normales”, lo que en ocasiones resultó en “eventos menores de desbordamiento del tanque”. Los hacktivistas también desactivaron los mecanismos de alarma y cambiaron las contraseñas administrativas para bloquear a los operadores del WWS. Si bien la mayoría de las víctimas pudieron recuperar rápidamente el control y restablecer las operaciones, a las autoridades les preocupa que los hacktivistas «sean capaces de utilizar técnicas que plantean amenazas físicas contra entornos OT inseguros y mal configurados». De hecho, a pesar de los impactos limitados de estos ataques, el aviso señala que los hacktivistas prorrusos tienden a “exagerar sus capacidades e impactos sobre los objetivos”. Esto tiene como objetivo ayudar a generar miedo e incertidumbre en torno a la solidez de la infraestructura crítica y amplificar su poder percibido. VER: Un estudio revela los activos conectados y la IoT más vulnerables ¿Cómo acceden los hacktivistas prorrusos a los sistemas OT? La alerta decía que los hacktivistas pretenden en gran medida obtener acceso remoto a la interfaz hombre-máquina asociada con el ICS del dispositivo OT y luego usarlo para controlar su salida. Utilizan una variedad de técnicas para hacerlo, que incluyen; Utilizando el protocolo VNC para acceder a las HMI. Aprovechar el protocolo VNC Remote Frame Buffer para iniciar sesión en HMI. Aprovechar VNC sobre el puerto 5900 para acceder a HMI; y luego iniciar sesión en la HMI con cuentas que tienen credenciales predeterminadas de fábrica o contraseñas débiles y no están protegidas por autenticación multifactor. Agregaron que varias de las HMI comprometidas eran «dispositivos heredados no compatibles fabricados en el extranjero y renombrados como dispositivos estadounidenses». VER: Tenable: Los profesionales de la seguridad cibernética deberían preocuparse por los ataques cibernéticos patrocinados por el estado Jake Moore, asesor global de ciberseguridad de la empresa antivirus y de seguridad de Internet ESET, dijo a TechRepublic en un correo electrónico: “Aunque no siempre ni del todo maliciosos, los hacktivistas resaltarán áreas de preocupación que deben abordarse mientras hacen ruido político o social para que se escuche su mensaje: “Limitados a técnicas poco sofisticadas para atacar (infraestructura crítica), los ataques a estos controles aumentan naturalmente el nivel de amenaza y muestran lo que es necesario abordar”. Cobertura de seguridad de lectura obligada ¿Qué hacktivistas prorrusos fueron responsables de los ataques a los sistemas OT? Si bien el informe no nombra explícitamente a ningún actor de amenazas identificado como responsable de estos ataques, en enero, un grupo hacktivista pro-Rusia llamado Cyber Army of Russia publicó un video que parece mostrarlos manipulando configuraciones en una organización de suministro de agua en Muleshoe. Texas, provocando un desbordamiento. Un incidente similar ocurrió en abril en Indiana y fue reivindicado por el mismo grupo. Desde entonces, la empresa de seguridad cibernética Mandiant, propiedad de Google, vinculó en un informe al Ejército Cibernético de Rusia con la notoria unidad de piratería rusa Sandworm. Añadió que también se han informado casos de explotación de OT en Polonia y Francia. VER: Sandworm, un actor de amenazas ruso, interrumpió el poder en Ucrania a través de un ciberataque Según The Record, Eric Goldstein, subdirector ejecutivo de ciberseguridad de CISA, dijo en una rueda de prensa el miércoles: “Los grupos hacktivistas rusos han declarado públicamente su intención de emprender este tipo de actividades para reflejar su apoyo al régimen ruso”. Sin embargo, Goldstein aclaró que el gobierno federal “no está evaluando una conexión” entre la reciente actividad maliciosa y Sandworm. ¿Qué consejos han dado las autoridades de ciberseguridad? Los autores de la hoja informativa consolidan consejos dirigidos a usuarios y fabricantes de dispositivos OT para proteger sus sistemas de los atacantes. Usuarios de dispositivos OT Desconecte todas las HMI, como pantallas táctiles y controladores lógicos programables, de la Internet pública. Si es necesario el acceso remoto, utilice un firewall y/o una red privada virtual con una contraseña segura y autenticación multifactor. Implementar MFA para todos los accesos a la red OT. Cambie inmediatamente todas las contraseñas predeterminadas y débiles en las HMI y utilice una contraseña segura y única. Mantenga el VNC actualizado con la última versión disponible y asegúrese de que todos los sistemas y software estén actualizados con parches y actualizaciones de seguridad necesarias. Establezca una lista de permitidos que permita solo direcciones IP de dispositivos autorizadas y habilite alertas para monitorear los intentos de acceso. Registre inicios de sesión remotos en HMI y tome nota de cualquier intento fallido y momentos inusuales. Practicar y mantener la capacidad de operar sistemas manualmente. Cree copias de seguridad de la lógica de ingeniería, las configuraciones y el firmware de las HMI para permitir una recuperación rápida. Familiarice a su organización con los restablecimientos de fábrica y la implementación de copias de seguridad. Verifique la integridad de la lógica de escalera del PLC u otros diagramas y lenguajes de programación del PLC y verifique si hay modificaciones no autorizadas para garantizar un funcionamiento correcto. Actualice y proteja los diagramas de red para reflejar las redes de TI y OT. Las personas solo deben tener acceso a los sistemas que necesitan para completar su trabajo, pero deben estar al tanto de todos los intentos de obtener o modificar la arquitectura de la red. Considere la posibilidad de utilizar técnicas de cifrado, autenticación y autorización para proteger los archivos de diagramas de red. Sea consciente de las posibles amenazas. Los adversarios pueden intentar obtener credenciales de red por diversos medios físicos, incluidas visitas oficiales, conversaciones en ferias y conferencias y a través de las redes sociales. Haga un inventario y reemplace las HMI al final de su vida útil tan pronto como sea posible. Implementar límites de software y hardware a la manipulación de procesos físicos, por ejemplo, mediante el uso de enclavamientos operativos, sistemas de seguridad ciberfísicos e ingeniería cibernética. Las organizaciones del Reino Unido pueden reducir su exposición al riesgo utilizando el servicio gratuito de Alerta Temprana del NCSC. Fabricantes de dispositivos OT Eliminan las contraseñas predeterminadas y exigen contraseñas seguras. El uso de credenciales predeterminadas es una de las principales debilidades que los actores de amenazas aprovechan para obtener acceso a los sistemas. Exija autenticación multifactor para usuarios privilegiados que puedan realizar cambios en la lógica o las configuraciones de ingeniería. Incluya el registro sin cargo adicional para que los usuarios puedan realizar un seguimiento de los eventos que afectan la seguridad en su infraestructura crítica. Publique listas de materiales de software para que los usuarios puedan medir y mitigar el impacto que tiene una vulnerabilidad en sus sistemas existentes. ¿Por qué los hacktivistas apuntan a los dispositivos OT utilizados en infraestructuras críticas? Moore dijo a TechRepublic: “La infraestructura nacional crítica ha sido un área de particular interés para los atacantes prorrusos desde que estalló la guerra (en Ucrania). Las operaciones de OT también han sido (mantenidas) en alta estima (ya que) hacen el mayor ruido políticamente. «Incluso me atrevería a decir que tanto los hacktivistas como los actores de amenazas rusos han estado apuntando continuamente a estos sistemas, pero el peso de sus ataques finalmente se está sumando a nuevos niveles de presión». Poner en peligro la infraestructura nacional crítica puede provocar una interrupción generalizada, lo que la convierte en un objetivo principal para el ransomware. El NCSC declaró que es “muy probable” que la amenaza cibernética al CNI del Reino Unido aumente en 2023, en parte debido a su dependencia de tecnología heredada. Las organizaciones que manejan infraestructura crítica son bien conocidas por albergar dispositivos heredados, ya que es difícil y costoso reemplazar la tecnología mientras se mantienen las operaciones normales. La evidencia de Thales presentada para un informe del gobierno del Reino Unido sobre la amenaza del ransomware a la seguridad nacional decía: «no es raro dentro del sector CNI encontrar sistemas obsoletos con una larga vida operativa que no se actualizan, monitorean o evalúan de manera rutinaria». Otra evidencia de NCC Group decía que «es mucho más probable que los sistemas OT incluyan componentes que tienen entre 20 y 30 años y/o utilicen software más antiguo que es menos seguro y ya no es compatible». En Estados Unidos, la Casa Blanca está haciendo esfuerzos activos para reducir el riesgo de ataques cibernéticos a su infraestructura crítica. El martes, el presidente Joe Biden firmó un Memorando de Seguridad Nacional que tiene como objetivo promover la “unidad nacional de esfuerzo del país para fortalecer y mantener una infraestructura crítica segura, funcional y resiliente”. Aclara las funciones del gobierno federal para garantizar su seguridad, establece requisitos mínimos de seguridad, describe la priorización basada en riesgos y apunta a mejorar la recopilación y el intercambio de inteligencia. Esto es en respuesta a una serie de ataques cibernéticos dirigidos a infraestructuras críticas en Estados Unidos, no solo por parte de grupos vinculados a Rusia. Por ejemplo, en febrero de 2024 se publicó un aviso advirtiendo contra los piratas informáticos respaldados por el estado chino que se infiltran en las instalaciones de agua y otras infraestructuras críticas de Estados Unidos. En marzo de 2024, el asesor de seguridad nacional Jake Sullivan y Michael Regan escribieron una carta a las autoridades del agua pidiéndoles que invirtieran en fortalecer la postura de seguridad cibernética a la luz de los ataques.
La invasión rusa de Ucrania parece un momento realmente crucial en esta narrativa. En el otoño de 2022, los precios de la energía en el Reino Unido se estaban disparando y, sin embargo, la respuesta de Liz Truss, primera ministra en ese momento, fue redoblar la exploración de petróleo y gas y negarse a pedir a la gente que redujera su consumo de energía. Era el enfoque absolutamente opuesto al de muchas naciones europeas que enfrentaban el mismo problema. En ese momento [the invasion] Sucedió, obviamente era una crisis genuina y pensé que el clima iba a bajar de la lista de prioridades. Pero en mi mente tecnocrática, también pensaba que esto iba a crear el incentivo para dejar de usar combustibles con alto contenido de carbono; si quieres saber cómo es el mundo con un precio alto del carbono, estamos a punto de descubrirlo. Lo que no esperaba es que los argumentos verdes llegaran demasiado tarde porque los argumentos fósiles intervinieron inmediatamente para decir: «Por eso necesitamos un suministro interno de combustibles fósiles». Ese argumento realmente importante, actuar en consecuencia porque los precios de los combustibles fósiles son muy volátiles y muy caros, pasó un poco por alto en el éter político en ese momento, y saltamos a una narrativa diferente de lo que el país necesitaba hacer. Todo ese período es que nos estamos quedando sin petróleo y gas. Por lo tanto, a largo plazo no será una estrategia creíble intentar bombear licencias de petróleo y gas de primera calidad en el Mar del Norte. Un año después, el sucesor de Truss, Rishi Sunak, pronunció un gran discurso para hacer retroceder políticas climáticas clave, en particular retrasar la fecha límite de 2030 que prohíbe la venta de automóviles nuevos de gasolina y diésel. Si se lo mira simplemente como un discurso político, hubo más políticas proclimáticas que políticas climáticas retrasadas. Fue aquel en el que habla de acelerar la inversión verde, por ejemplo. Y lo del vehículo eléctrico [pushing back the 2030 deadline] No fue un gran cambio, ya que ya estábamos permitiendo híbridos hasta 2035. Pero, ¿qué escuchó el país? Escucharon: «No se preocupen, ahora no es el momento de cambiar a vehículos eléctricos». Es difícil vincular algo a un solo discurso, pero si nos fijamos en la proporción de vehículos eléctricos que se venden en el Reino Unido, se ha estancado desde septiembre. Estoy seguro de que hay otros factores aquí, pero habrá gente que pensará: «Bueno, tal vez no necesite comprar ese coche eléctrico ahora mismo». Parece que este gobierno ha decidido hacer de apelar a los automovilistas una estrategia de campaña clave. En julio de 2023, el Partido Laborista perdió por poco las elecciones parciales de Uxbridge y South Ruislip, y muchos comentaristas pensaron que el candidato conservador ganó esas elecciones debido a su oposición a la Zona de Emisiones Ultra Bajas. Lo que sucedió allí fue interesante. El Partido Laborista también aceptó la narrativa de que ULEZ fue la razón por la que no ganaron esa circunscripción. Inevitablemente, en cualquier elección hay una serie de cuestiones en juego, pero si todos los partidos piensan que se trata de políticas ambientales, no sorprende que ese se convierta en uno de los temas dominantes en la política después de eso.
La IA hace que los trabajadores sean más productivos, pero todavía nos faltan regulaciones, según una nueva investigación. El Informe del Índice de IA 2024, publicado por el instituto de Inteligencia Artificial Centrada en las Personas de la Universidad de Stanford, ha descubierto las ocho principales tendencias de IA para las empresas, incluido cómo la tecnología aún no supera al cerebro humano en todas las tareas. TechRepublic profundiza en las implicaciones comerciales de estas conclusiones, con la información de los coautores del informe Robi Rahman y Anka Reuel. VER: Las 5 principales tendencias de IA a tener en cuenta en 2024 1. Los humanos aún superan a la IA en muchas tareas Según la investigación, la IA todavía no es tan buena como los humanos en las tareas complejas de resolución de problemas matemáticos de nivel avanzado, razonamiento visual de sentido común y planificación ( Figura A). Para llegar a esta conclusión, se compararon los modelos con puntos de referencia humanos en muchas funciones empresariales diferentes, incluida la codificación, el comportamiento basado en agentes, el razonamiento y el aprendizaje por refuerzo. Figura A Rendimiento de los modelos de IA en diferentes tareas en relación con los humanos. Imagen: Informe del índice de IA 2024/HAI de la Universidad de Stanford. Si bien la IA superó las capacidades humanas en clasificación de imágenes, razonamiento visual y comprensión del inglés, el resultado muestra que existe potencial para que las empresas utilicen la IA para tareas en las que el personal humano realmente se desempeñaría mejor. Muchas empresas ya están preocupadas por las consecuencias de una dependencia excesiva de los productos de IA. 2. Los modelos de IA de última generación se están volviendo más caros El Índice de IA informa que entrenar GPT-4 de OpenAI y Gemini Ultra de Google costará aproximadamente 78 millones de dólares y 191 millones de dólares en 2023, respectivamente (Figura B). El científico de datos Rahman dijo a TechRepublic en un correo electrónico: «Con las tasas de crecimiento actuales, los modelos de IA de vanguardia costarán entre 5.000 y 10.000 millones de dólares en 2026, momento en el que muy pocas empresas podrán permitirse estos ciclos de formación». Figura B Costos de capacitación de los modelos de IA, 2017 a 2023. Imagen: AI Index Report 2024/Stanford University HAI/Epoch, 2023 En octubre de 2023, el Wall Street Journal publicó que Google, Microsoft y otros grandes actores tecnológicos estaban luchando por monetizar su capacidad generativa. Productos de IA debido a los enormes costos asociados con su funcionamiento. Existe el riesgo de que, si las mejores tecnologías se vuelven tan caras que sólo son accesibles para las grandes corporaciones, su ventaja sobre las PYMES podría aumentar desproporcionadamente. Esto fue señalado por el Foro Económico Mundial en 2018. Sin embargo, Rahman destacó que muchos de los mejores modelos de IA son de código abierto y, por lo tanto, están disponibles para empresas de todos los presupuestos, por lo que la tecnología no debería ampliar ninguna brecha. Le dijo a TechRepublic: “Los modelos de IA de código abierto y cerrado están creciendo al mismo ritmo. Una de las empresas de tecnología más grandes, Meta, está utilizando código abierto para todos sus modelos, por lo que las personas que no pueden darse el lujo de entrenar ellos mismos los modelos más grandes pueden simplemente descargar los suyos”. 3. La IA aumenta la productividad y la calidad del trabajo Al evaluar una serie de estudios existentes, los investigadores de Stanford concluyeron que la IA permite a los trabajadores completar tareas más rápidamente y mejora la calidad de su producción. Las profesiones en las que esto se observó incluyen programadores informáticos, donde el 32,8% informó un aumento de productividad, consultores, agentes de soporte (Figura C) y reclutadores. Figura C Impacto de la IA en la productividad de los agentes de atención al cliente. Imagen: AI Index Report 2024/Stanford University HAI/Brynjolfsson et al., 2023 En el caso de los consultores, el uso de GPT-4 cerró la brecha entre los profesionales poco calificados y los altamente calificados, y el grupo poco calificado experimentó más de un aumento del rendimiento (Figura D). Otras investigaciones también han indicado cómo la IA generativa en particular podría actuar como un igualador, ya que los trabajadores menos experimentados y menos calificados obtienen más provecho de ella. Figura D Mejora del desempeño laboral de consultores poco y altamente calificados cuando se utiliza IA. Imagen: Informe del índice de IA 2024/HAI de la Universidad de Stanford Sin embargo, otros estudios sugirieron que “el uso de IA sin la supervisión adecuada puede conducir a una disminución del rendimiento”, escribieron los investigadores. Por ejemplo, existen informes generalizados de que las alucinaciones prevalecen en modelos de lenguaje grandes que realizan tareas legales. Otras investigaciones han descubierto que es posible que no alcancemos todo el potencial de las ganancias de productividad impulsadas por la IA hasta dentro de una década, ya que los resultados insatisfactorios, las directrices complicadas y la falta de competencia siguen frenando a los trabajadores. 4. Las regulaciones de IA en los EE. UU. van en aumento El Informe del Índice de IA encontró que, en 2023, había 25 regulaciones relacionadas con la IA activas en los EE. UU., mientras que en 2016 solo había una (Figura E). Sin embargo, esta no ha sido una tendencia constante, ya que el número total de regulaciones relacionadas con la IA creció un 56,3% solo entre 2022 y 2023. Con el tiempo, estas regulaciones también han pasado de ser expansivas con respecto al progreso de la IA a restrictivas, y el tema más frecuente que abordan es el comercio exterior y las finanzas internacionales. Figura E Número de regulaciones relacionadas con la IA activas en los EE. UU. entre 2016 y 2023. Imagen: Informe del índice AI 2024/Universidad de Stanford HAI La legislación relacionada con la IA también está aumentando en la UE, con 46, 22 y 32 nuevas regulaciones aprobadas en 2021. , 2022 y 2023, respectivamente. En esta región, las regulaciones tienden a adoptar un enfoque más amplio y, en la mayoría de los casos, cubren la ciencia, la tecnología y las comunicaciones. VER: NIST establece un consorcio de seguridad de IA Es esencial que las empresas interesadas en la IA se mantengan actualizadas sobre las regulaciones que las afectan, o corren el riesgo de sufrir fuertes sanciones por incumplimiento y daños a su reputación. Una investigación publicada en marzo de 2024 encontró que solo el 2% de las grandes empresas del Reino Unido y la UE conocían la próxima Ley de IA de la UE. Más cobertura de IA de lectura obligada 5. La inversión en IA generativa está aumentando La financiación para productos de IA generativa que generan contenido en respuesta a un mensaje casi se octuplicó de 2022 a 2023, alcanzando los 25.200 millones de dólares (Figura F). OpenAI, Anthropic, Hugging Face e Inflection, entre otros, recibieron importantes rondas de recaudación de fondos. Figura F Inversión privada global total en IA generativa de 2019 a 2023. Imagen: AI Index Report 2024/Stanford University HAI/Quid, 2023 Es probable que el desarrollo de capacidades de IA generativa satisfaga la demanda de las empresas que buscan adoptarlas en sus procesos. En 2023, la IA generativa se citó en el 19,7 % de todas las llamadas sobre resultados de las empresas Fortune 500, y un informe de McKinsey reveló que el 55 % de las organizaciones utilizan ahora la IA, incluida la IA generativa, en al menos una unidad de negocio o función. El conocimiento de la IA generativa aumentó después del lanzamiento de ChatGPT el 30 de noviembre de 2022 y, desde entonces, las organizaciones han estado compitiendo para incorporar sus capacidades en sus productos o servicios. Una encuesta reciente de 300 empresas globales realizada por MIT Technology Review Insights, en asociación con Telstra International, encontró que los encuestados esperan que su número de funciones que implementan IA generativa se duplique en 2024. VER: Definición de IA generativa: cómo funciona, beneficios y Peligros Sin embargo, hay algunas pruebas de que el auge de la IA generativa “podría llegar a un final bastante rápido”, según Gary Marcus, destacado portavoz de la IA, y las empresas deberían tener cuidado. Esto se debe principalmente a las limitaciones de las tecnologías actuales, como la posibilidad de sesgos, problemas de derechos de autor e imprecisiones. Según el informe de Stanford, la cantidad finita de datos en línea disponibles para entrenar modelos podría exacerbar los problemas existentes, poniendo un límite a las mejoras y la escalabilidad. Afirma que las empresas de IA podrían quedarse sin datos lingüísticos de alta calidad para 2026, datos lingüísticos de baja calidad en dos décadas y datos de imágenes entre finales de la década de 2030 y mediados de la década de 2040. 6. Los puntos de referencia para la responsabilidad de LLM varían ampliamente Existe una variación significativa en los puntos de referencia con los que las empresas de tecnología evalúan sus LLM en lo que respecta a confiabilidad o responsabilidad, según el informe (Figura G). Los investigadores escribieron que esto «complica los esfuerzos para comparar sistemáticamente los riesgos y limitaciones de los mejores modelos de IA». Estos riesgos incluyen resultados sesgados y la filtración de información privada de conjuntos de datos de entrenamiento e historiales de conversaciones. Figura G Los puntos de referencia de IA responsable utilizados en el desarrollo de modelos de IA populares. Imagen: Informe del índice AI 2024/Universidad de Stanford HAI Reuel, estudiante de doctorado en el Laboratorio de Sistemas Inteligentes de Stanford, dijo a TechRepublic en un correo electrónico: “Actualmente no existen requisitos de informes, ni tenemos evaluaciones sólidas que nos permitan decir con confianza que un modelo es seguro si pasa esas evaluaciones en primer lugar”. Sin una estandarización en esta área, aumenta el riesgo de que algunos modelos de IA no confiables pasen desapercibidos y sean integrados por las empresas. «Los desarrolladores podrían informar selectivamente puntos de referencia que resalten positivamente el rendimiento de su modelo», añade el informe. Reuel dijo a TechRepublic: “Hay múltiples razones por las que un modelo dañino puede pasar desapercibido. En primer lugar, no hay evaluaciones estandarizadas o requeridas que dificulten la comparación de modelos y sus riesgos (relativos), y en segundo lugar, no hay evaluaciones sólidas, específicamente de los modelos básicos, que permitan una comprensión sólida y completa del riesgo absoluto de un modelo”. 7. Los empleados están nerviosos y preocupados por la IA. El informe también rastrea cómo las actitudes hacia la IA están cambiando a medida que aumenta la conciencia. Una encuesta encontró que el 52% expresa nerviosismo hacia los productos y servicios de IA, y que esta cifra había aumentado un 13% en 18 meses. También encontró que solo el 54% de los adultos está de acuerdo en que los productos y servicios que utilizan IA tienen más beneficios que inconvenientes, mientras que el 36% teme que pueda quitarles el trabajo en los próximos cinco años (Figura H). Figura H Opiniones globales sobre el impacto que la IA tendrá en los empleos actuales en 2023. Imagen: AI Index Report 2024/Stanford University HAI/Ipsos, 2023 Otras encuestas a las que se hace referencia en el AI Index Report encontraron que el 53 % de los estadounidenses actualmente se sienten más preocupados por la IA. que emocionados, y que la preocupación más común que comparten es su impacto en el empleo. Estas preocupaciones podrían tener un impacto particular en la salud mental de los empleados cuando las tecnologías de inteligencia artificial comiencen a integrarse en una organización, algo que los líderes empresariales deberían monitorear. VER: Los 10 mejores cursos de IA en 2024 8. EE. UU. y China están creando la mayoría de los LLM más populares de la actualidad. Ben Abbott de TechRepublic cubrió esta tendencia del informe de Stanford en su artículo sobre la construcción de modelos básicos de IA en la región APAC. Escribió, en parte: “El dominio de EE. UU. en IA continuó a lo largo de 2023. El informe del índice de IA de Stanford publicado en 2024 encontró que se habían lanzado 61 modelos notables en EE. UU. en 2023; esto estuvo por delante de los 15 nuevos modelos de China y de Francia, el mayor contribuyente de Europa con ocho modelos (Figura I). El Reino Unido y la Unión Europea como región produjeron 25 modelos notables, superando a China por primera vez desde 2019, mientras que Singapur, con tres modelos, fue el único otro productor de modelos lingüísticos grandes notables en APAC”. Figura I Estados Unidos está superando a China y otros países en el desarrollo de modelos de IA. Imagen: Época
Reino Unido y EE. UU. acuerdan colaborar en el desarrollo de pruebas de seguridad para modelos de IA
El gobierno del Reino Unido acordó formalmente trabajar con Estados Unidos en el desarrollo de pruebas para modelos avanzados de inteligencia artificial. El 1 de abril de 2024, la Secretaria de Tecnología del Reino Unido, Michelle Donelan, y la Secretaria de Comercio de los Estados Unidos, Gina Raimondo, firmaron un Memorando de Entendimiento, que es un acuerdo no vinculante legalmente (Figura A). Figura A La secretaria de Comercio de Estados Unidos, Gina Raimondo (izquierda), y la secretaria de Tecnología del Reino Unido, Michelle Donelan (derecha). Fuente: Gobierno del Reino Unido. Imagen: Gobierno del Reino Unido Ambos países ahora “alinearán sus enfoques científicos” y trabajarán juntos para “acelerar e iterar rápidamente conjuntos sólidos de evaluaciones para modelos, sistemas y agentes de IA”. Esta medida se está tomando para mantener los compromisos establecidos en la primera Cumbre mundial sobre seguridad de la IA en noviembre pasado, donde gobiernos de todo el mundo aceptaron su papel en las pruebas de seguridad de la próxima generación de modelos de IA. ¿Qué iniciativas de IA han acordado el Reino Unido y Estados Unidos? Con el MoU, el Reino Unido y los EE. UU. acordaron cómo construirán un enfoque común para las pruebas de seguridad de la IA y compartirán sus desarrollos entre sí. Específicamente, esto implicará: Desarrollar un proceso compartido para evaluar la seguridad de los modelos de IA. Realizar al menos un ejercicio de prueba conjunto sobre un modelo de acceso público. Colaborar en la investigación técnica de seguridad de la IA, tanto para avanzar en el conocimiento colectivo de los modelos de IA como para garantizar que las nuevas políticas estén alineadas. Intercambio de personal entre respectivos institutos. Compartir información sobre todas las actividades realizadas en los respectivos institutos. Trabajar con otros gobiernos en el desarrollo de estándares de IA, incluida la seguridad. «Gracias a nuestra colaboración, nuestros institutos obtendrán una mejor comprensión de los sistemas de inteligencia artificial, realizarán evaluaciones más sólidas y emitirán directrices más rigurosas», dijo el secretario Raimondo en un comunicado. VER: Aprenda a utilizar la IA para su negocio (Academia TechRepublic) El MoU se relaciona principalmente con el avance de los planes elaborados por los Institutos de Seguridad de IA en el Reino Unido y EE. UU. Las instalaciones de investigación del Reino Unido se lanzaron en la Cumbre de Seguridad de IA con los tres objetivos principales. de evaluar los sistemas de IA existentes, realizar investigaciones fundamentales sobre la seguridad de la IA y compartir información con otros actores nacionales e internacionales. Empresas como OpenAI, Meta y Microsoft han acordado que el AISI del Reino Unido revise de forma independiente sus últimos modelos de IA generativa. De manera similar, el AISI de EE. UU., establecido formalmente por el NIST en febrero de 2024, fue creado para trabajar en las acciones prioritarias descritas en la Orden Ejecutiva de AI emitida en octubre de 2023; Estas acciones incluyen el desarrollo de estándares para la seguridad de los sistemas de IA. El AISI de EE. UU. cuenta con el apoyo de un consorcio del AI Safety Institute, cuyos miembros son Meta, OpenAI, NVIDIA, Google, Amazon y Microsoft. ¿Conducirá esto a la regulación de las empresas de IA? Si bien ni el AISI del Reino Unido ni el de los EE. UU. son un organismo regulador, es probable que los resultados de su investigación combinada sirvan de base para futuros cambios de políticas. Según el gobierno del Reino Unido, su AISI «proporcionará conocimientos fundamentales para nuestro régimen de gobernanza», mientras que la instalación estadounidense «desarrollará directrices técnicas que serán utilizadas por los reguladores». Podría decirse que la Unión Europea todavía está un paso por delante, ya que su histórica Ley de IA se convirtió en ley el 13 de marzo de 2024. La legislación describe medidas diseñadas para garantizar que la IA se utilice de forma segura y ética, entre otras normas relativas a la IA para el reconocimiento facial y la transparencia. . VER: La mayoría de los profesionales de la ciberseguridad esperan que la IA afecte sus trabajos La mayoría de los grandes actores tecnológicos, incluidos OpenAI, Google, Microsoft y Anthropic, tienen su sede en EE. UU., donde actualmente no existen regulaciones estrictas que puedan restringir sus actividades de IA. La EO de octubre proporciona orientación sobre el uso y la regulación de la IA, y se han tomado medidas positivas desde su firma; sin embargo, esta legislación no es ley. El Marco de Gestión de Riesgos de IA finalizado por el NIST en enero de 2023 también es voluntario. De hecho, estas grandes empresas tecnológicas son en su mayoría responsables de regularse a sí mismas y el año pasado lanzaron el Foro Modelo Frontier para establecer sus propias “barandillas” para mitigar el riesgo de la IA. ¿Qué piensan la IA y los expertos legales sobre las pruebas de seguridad? La regulación de la IA debería ser una prioridad La formación del AISI del Reino Unido no fue una forma universalmente popular de controlar la IA en el país. En febrero, el director ejecutivo de Faculty AI, una empresa involucrada con el instituto, dijo que desarrollar estándares sólidos puede ser un uso más prudente de los recursos gubernamentales en lugar de intentar examinar cada modelo de IA. «Creo que es importante que establezca estándares para el resto del mundo, en lugar de intentar hacerlo todo por sí mismo», dijo Marc Warner a The Guardian. Más cobertura de IA de lectura obligada Los expertos en derecho tecnológico tienen un punto de vista similar cuando se trata del MoU de esta semana. «Idealmente, los esfuerzos de los países se gastarían mucho mejor en desarrollar regulaciones estrictas en lugar de investigación», dijo a TechRepublic en un correo electrónico Aron Solomon, analista legal y director de estrategia de la agencia de marketing legal Amplify. “Pero el problema es este: pocos legisladores (yo diría, especialmente en el Congreso de Estados Unidos) tienen un conocimiento tan profundo de la IA como para regularla. Solomon añadió: “Deberíamos salir en lugar de entrar en un período de estudio profundo necesario, en el que los legisladores realmente entiendan colectivamente cómo funciona la IA y cómo se utilizará en el futuro. Pero, como lo puso de relieve la reciente debacle estadounidense en la que los legisladores intentan prohibir TikTok, ellos, como grupo, no entienden la tecnología, por lo que no están bien posicionados para regularla de manera inteligente. “Esto nos deja en la situación difícil en la que nos encontramos hoy. La IA está evolucionando mucho más rápido de lo que los reguladores pueden regular. Pero aplazar la regulación en favor de cualquier otra cosa en este momento es retrasar lo inevitable”. De hecho, dado que las capacidades de los modelos de IA cambian y se expanden constantemente, las pruebas de seguridad realizadas por los dos institutos deberán hacer lo mismo. «Algunos malos actores pueden intentar eludir las pruebas o aplicar incorrectamente las capacidades de IA de doble uso», dijo a TechRepublic en un correo electrónico Christoph Cemper, director ejecutivo de la plataforma de gestión rápida AIPRM. El doble uso se refiere a tecnologías que pueden utilizarse tanto con fines pacíficos como hostiles. Cemper dijo: “Si bien las pruebas pueden señalar problemas de seguridad técnica, no reemplazan la necesidad de directrices sobre cuestiones éticas, políticas y de gobernanza… Idealmente, los dos gobiernos considerarán las pruebas como la fase inicial de un proceso colaborativo continuo”. VER: La IA generativa puede aumentar la amenaza global de ransomware, según un estudio del Centro Nacional de Seguridad Cibernética Se necesita investigación para una regulación eficaz de la IA Si bien las directrices voluntarias pueden no resultar suficientes para incitar un cambio real en las actividades de los gigantes tecnológicos, una legislación de línea dura podría sofocar Según el Dr. Kjell Carlsson, el progreso en IA si no se considera adecuadamente. El ex analista de ML/AI y actual jefe de estrategia de Domino Data Lab dijo a TechRepublic en un correo electrónico: “Hoy en día, hay áreas relacionadas con la IA donde el daño es una amenaza real y creciente. Se trata de áreas como el fraude y el cibercrimen, donde normalmente existe regulación pero es ineficaz. “Desafortunadamente, pocas de las regulaciones de IA propuestas, como la Ley de IA de la UE, están diseñadas para abordar eficazmente estas amenazas, ya que se centran principalmente en ofertas comerciales de IA que los delincuentes no utilizan. Como tal, muchos de estos esfuerzos regulatorios dañarán la innovación y aumentarán los costos, al tiempo que harán poco para mejorar la seguridad real”. Por lo tanto, muchos expertos piensan que priorizar la investigación y la colaboración es más eficaz que apresurarse con las regulaciones en el Reino Unido y los EE. UU. El Dr. Carlsson dijo: “La regulación funciona cuando se trata de prevenir daños establecidos en casos de uso conocidos. Hoy en día, sin embargo, la mayoría de los casos de uso de la IA aún no se han descubierto y casi todo el daño es hipotético. Por el contrario, existe una increíble necesidad de investigar cómo probar, mitigar el riesgo y garantizar la seguridad de los modelos de IA de forma eficaz. «Como tal, el establecimiento y la financiación de estos nuevos Institutos de Seguridad de IA y estos esfuerzos de colaboración internacional son una excelente inversión pública, no sólo para garantizar la seguridad, sino también para fomentar la competitividad de las empresas en los EE.UU. y el Reino Unido».
Podría decirse que mantenerse actualizado con lo último en seguridad cibernética nunca ha sido más importante que en 2024. El proveedor de servicios financieros Allianz nombró los ataques cibernéticos como el mayor riesgo de este año para las empresas en el Reino Unido y por primera vez una de las principales preocupaciones para empresas de todos los tamaños. Sin embargo, muchos profesionales aún no saben qué nos dicen los acontecimientos del primer trimestre sobre el panorama cibernético para el resto del año que podría tener consecuencias importantes. TechRepublic consultó a expertos de la industria del Reino Unido para identificar las tres tendencias más importantes en seguridad cibernética (IA, días cero y seguridad de IoT) y brindar orientación sobre cómo las empresas pueden defender mejor su posición. 1. Ciberataques sofisticados con IA En enero de 2024, el Centro Nacional de Seguridad Cibernética del Reino Unido advirtió que se esperaba que la amenaza global de ransomware aumentara debido a la disponibilidad de tecnologías de IA, con ataques aumentando tanto en volumen como en impacto. El riesgo para las empresas del Reino Unido es especialmente pronunciado: un informe reciente de Microsoft encontró que el 87% son “vulnerables” o “en alto riesgo” de sufrir ataques cibernéticos. El Ministro de Inteligencia Artificial y Propiedad Intelectual, Vizconde Camrose, ha destacado específicamente la necesidad de que las organizaciones del Reino Unido «intensifiquen sus planes de ciberseguridad», ya que es el tercer país del mundo más blanco de ciberataques, después de EE.UU. y Ucrania. James Babbage, director general de amenazas de la Agencia Nacional contra el Crimen, dijo en la publicación del NCSC: «Los servicios de inteligencia artificial reducen las barreras de entrada, aumentan el número de ciberdelincuentes y aumentarán su capacidad al mejorar la escala, la velocidad y la eficacia de las amenazas existentes». métodos de ataque”. Los delincuentes pueden utilizar la tecnología para realizar ataques de ingeniería social más convincentes y obtener acceso inicial a la red. Según el informe global Cybersecurity Forecast de Google Cloud, los grandes modelos de lenguaje y la IA generativa «se ofrecerán cada vez más en foros clandestinos como un servicio pago y se utilizarán para diversos fines, como campañas de phishing y difusión de desinformación». VER: Principales predicciones de IA para 2024 (descarga premium gratuita de TechRepublic) Jake Moore, asesor global de ciberseguridad de la empresa antivirus y de seguridad de Internet ESET, ha estado investigando un software de clonación en tiempo real que utiliza IA para intercambiar la cara de una persona que llama por video con la de otra persona. Le dijo a TechRepublic por correo electrónico: «Esta tecnología, junto con el impresionante software de clonación de voz de IA, ya está comenzando a cuestionar la autenticidad de una videollamada, lo que podría tener un impacto devastador en empresas de todos los tamaños». OpenAI anunció el 29 de marzo de 2024 que estaba adoptando un «enfoque cauteloso e informado» a la hora de lanzar su herramienta de clonación de voz al público en general «debido al potencial de uso indebido de la voz sintética». El modelo llamado Voice Engine es capaz de replicar de manera convincente la voz de un usuario con solo 15 segundos de audio grabado. «Los piratas informáticos maliciosos tienden a utilizar una variedad de técnicas para manipular a sus víctimas, pero una nueva e impresionante tecnología sin límites ni regulaciones está facilitando a los ciberdelincuentes influir en las personas para obtener ganancias financieras y agregar otra herramienta más a su creciente conjunto de herramientas», dijo Moore. “Es necesario recordar al personal que estamos entrando en una era en la que ver no siempre es creer y la verificación sigue siendo la clave de la seguridad. Las políticas nunca deben limitarse a las instrucciones habladas y todo el personal debe estar al tanto (del software de clonación en tiempo real) que está a punto de explotar en los próximos 12 meses”. 2. Explotaciones de día cero más exitosas Las estadísticas gubernamentales encontraron que el 32% de las empresas del Reino Unido sufrieron una violación de datos conocida o un ataque cibernético en 2023. Raj Samani, vicepresidente senior científico jefe de la plataforma unificada de seguridad cibernética Rapid7, cree que los ataques empresariales seguirán siendo particularmente frecuentes en el Reino Unido a lo largo de este año, pero agregó que los actores de amenazas también son más sofisticados. Le dijo a TechRepublic en un correo electrónico: “Una de las tendencias más emergentes durante 2023 que vemos que continúa hasta 2024 es la gran cantidad de Días Cero explotados por grupos de amenazas que normalmente no habríamos anticipado que tuvieran tales capacidades. “Lo que esto significa para el sector de ciberseguridad del Reino Unido es la demanda de una clasificación más rápida de la priorización de las actualizaciones de seguridad. Es imperativo que las organizaciones de todos los tamaños implementen un enfoque para mejorar la identificación de avisos críticos que impactan su entorno y que incorporen el contexto en estas decisiones. «Por ejemplo, si una vulnerabilidad se está explotando de forma natural y no hay controles de compensación (y está siendo explotada, por ejemplo, por grupos de ransomware), entonces probablemente será necesario priorizar la velocidad con la que se aplican los parches». VER: Principales predicciones de ciberseguridad para 2024 (descarga gratuita de TechRepublic Premium) La “Encuesta sobre violaciones de seguridad cibernética 2023” realizada por el gobierno del Reino Unido encontró disminuciones en las prácticas clave de higiene cibernética de políticas de contraseñas, firewalls de red, derechos de administrador restringidos y políticas para aplicar actualizaciones de seguridad de software dentro de 14 días. Si bien los datos reflejan en gran medida cambios en las micro, pequeñas y medianas empresas, la laxitud aumenta significativamente el alcance de los objetivos disponibles para los ciberdelincuentes y resalta la necesidad de mejorar en 2024. «Los datos personales siguen siendo una moneda enormemente valiosa», dijo Moore. República Tecnológica. «Una vez que los empleados bajan la guardia (los ataques) pueden ser extremadamente exitosos, por eso es vital que los miembros del personal estén conscientes de (las) tácticas que se utilizan». Cobertura de seguridad de lectura obligada 3. Enfoque renovado en la seguridad de IoT Para el 29 de abril de 2024, todos los proveedores de dispositivos de IoT en el Reino Unido deberán cumplir con la Ley de Telecomunicaciones y Seguridad de Productos de 2022, lo que significa que, como mínimo: Los dispositivos deben estar habilitados con contraseña . Los consumidores pueden informar claramente sobre problemas de seguridad. Se divulga la duración del soporte de seguridad del dispositivo. Si bien este es un paso positivo, muchas organizaciones continúan dependiendo en gran medida de dispositivos heredados que tal vez ya no reciban soporte de su proveedor. Moore le dijo a TechRepublic en un correo electrónico: “Con demasiada frecuencia, los dispositivos IoT han sido empaquetados con características de seguridad integradas débiles, si las hay, por lo que (los usuarios) están a la defensiva desde el principio y, a menudo, no se dan cuenta de las debilidades potenciales. Las actualizaciones de seguridad también tienden a ser poco frecuentes, lo que supone mayores riesgos para el propietario”. Las organizaciones que dependen de dispositivos heredados incluyen aquellas que manejan infraestructura nacional crítica en el Reino Unido, como hospitales, servicios públicos y telecomunicaciones. La evidencia de Thales presentada para un informe del gobierno del Reino Unido sobre la amenaza del ransomware a la seguridad nacional decía que «no es raro dentro del sector CNI encontrar sistemas obsoletos con una larga vida operativa que no se actualizan, monitorean o evalúan de manera rutinaria». Otra evidencia de NCC Group decía que «es mucho más probable que los sistemas OT (tecnología operativa) incluyan componentes que tienen entre 20 y 30 años y/o utilicen software más antiguo que es menos seguro y ya no es compatible». Estos sistemas más antiguos ponen en riesgo de interrupción los servicios esenciales. VER: Principales riesgos de seguridad de IIoT Según la empresa de seguridad de TI ZScaler, 34 de los 39 exploits de IoT más utilizados han estado presentes en dispositivos durante al menos tres años. Además, los analistas de Gartner predijeron que el 75% de las organizaciones albergarán sistemas heredados o no administrados que realizan tareas de misión crítica para 2026 porque no han sido incluidos en sus estrategias de confianza cero. «Los propietarios de IoT deben comprender los riesgos al instalar cualquier dispositivo conectado a Internet en su negocio, pero obligar a los dispositivos de IoT a ser más seguros desde la fase de diseño es vital y podría reparar muchos vectores de ataque comunes», dijo Moore.
Los piratas informáticos estatales rusos están adaptando sus técnicas para atacar a las organizaciones que se trasladan a la nube, advirtió un aviso del Centro Nacional de Seguridad Cibernética del Reino Unido y agencias de seguridad internacionales. El aviso detalla cómo el grupo de ciberespionaje APT29 está apuntando directamente a las debilidades en los servicios en la nube utilizados por las organizaciones víctimas para obtener acceso inicial a sus sistemas. APT29 también está ampliando el alcance de sus ataques más allá de los gobiernos, los grupos de expertos, los proveedores de atención médica y de energía para incluir víctimas en la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares. APT29 ha sido vinculado al Servicio de Inteligencia Exterior de Rusia. El aviso insta a las organizaciones a abordar las vulnerabilidades comunes en sus entornos de nube eliminando cuentas inactivas, habilitando la autenticación multifactor y creando cuentas canary para monitorear actividades sospechosas. ¿Quién es APT29? APT29, también conocido como Cozy Bear, Midnight Blizzard o The Dukes, es un grupo de ciberespionaje que se cree que es el autor del infame ataque SolarWinds de 2020, que aprovechó las vulnerabilidades de la red Orion y tuvo un impacto devastador en las agencias gubernamentales de EE. UU. y varias empresas del sector privado. El grupo de hackers también fue culpado por el reciente ataque de difusión de contraseñas a Microsoft que resultó en el compromiso de una pequeña cantidad de cuentas de correo electrónico corporativas. Cómo APT29 está adaptando sus ciberataques para centrarse en entornos basados en la nube y «bombardeo MFA» Según el aviso, se ha observado que APT29 utiliza una serie de técnicas durante los últimos 12 meses que sugieren que se está adaptando al cambio hacia operaciones basadas en la nube. ambientes en los sectores público y privado. Específicamente, el grupo está explotando cada vez más las debilidades de los servicios en la nube utilizados por las organizaciones para obtener acceso inicial a las redes. Esto marca un alejamiento de los métodos de ataque tradicionales utilizados por el grupo, es decir, aquellos que apuntan a equipos locales. Las técnicas utilizadas por APT29 incluyen la difusión de contraseñas y ataques de fuerza bruta dirigidos a cuentas que están inactivas o no son operadas por una persona y se utilizan para administrar otras aplicaciones en la red. “Este tipo de cuenta se utiliza normalmente para ejecutar y administrar aplicaciones y servicios. No hay ningún usuario humano detrás de ellas, por lo que no pueden protegerse fácilmente con autenticación multifactor (MFA), lo que hace que estas cuentas sean más susceptibles a un compromiso exitoso”, señala el aviso. “Las cuentas de servicio a menudo también tienen muchos privilegios dependiendo de qué aplicaciones y servicios son responsables de administrar. Obtener acceso a estas cuentas proporciona a los actores de amenazas un acceso inicial privilegiado a una red para lanzar más operaciones”. APT29 también está explotando las debilidades de los protocolos MFA a través del «bombardeo MFA», que implica bombardear el dispositivo de la víctima con solicitudes de autenticación hasta que se cansa de aceptar, ya sea accidentalmente o no. Después de eludir MFA, los piratas informáticos pueden registrar su propio dispositivo en la red y obtener un acceso más profundo a los sistemas de la organización víctima. También se ha observado que los actores de SVR roban tokens de autenticación emitidos por el sistema, lo que les permite acceder a las cuentas de las víctimas sin necesidad de una contraseña. Toby Lewis, jefe de análisis de amenazas de la empresa británica de ciberseguridad Darktrace, dijo que el cambio en las tácticas de APT29 destacó algunos de los «desafíos inherentes» a la seguridad de la infraestructura de la nube. «La creciente migración de datos y cargas de trabajo a la nube ha abierto nuevas superficies de ataque que los ciberdelincuentes están ansiosos por explotar», dijo Lewis a TechRepublic por correo electrónico. “Los entornos de nube contienen enormes cantidades de datos confidenciales que atraen tanto a los malos actores como a los grupos de estados-nación. La naturaleza distribuida de la infraestructura de la nube, el rápido aprovisionamiento de recursos y la prevalencia de configuraciones erróneas han planteado importantes desafíos de seguridad”. Cómo los piratas informáticos de SVR pasan desapercibidos Los servidores proxy residenciales y las cuentas inactivas también están demostrando ser herramientas muy útiles para los piratas informáticos de SVR, señala el aviso. Las cuentas inactivas generalmente se crean cuando un empleado deja una organización pero su cuenta permanece activa. Los piratas informáticos que tienen acceso a una cuenta inactiva pueden eludir cualquier restablecimiento de contraseña impuesto por una organización luego de una violación de seguridad, señala el aviso; simplemente inician sesión en la cuenta inactiva o inactiva y siguen las instrucciones para restablecer la contraseña. «Esto ha permitido al actor recuperar el acceso tras las actividades de desalojo en respuesta a incidentes», dice. Del mismo modo, los actores de SVR utilizan servidores proxy residenciales para enmascarar su ubicación y hacer que parezca que el tráfico de su red se origina en una dirección IP cercana. Esto hace que sea más difícil para una organización víctima detectar actividad sospechosa en la red y hace que las defensas de ciberseguridad que utilizan direcciones IP como indicadores de actividad sospechosa sean menos efectivas. «A medida que las defensas a nivel de red mejoran la detección de actividades sospechosas, los actores de SVR han buscado otras formas de permanecer encubiertos en Internet», dice el aviso. Cobertura de seguridad de lectura obligada Los desafíos de proteger las redes en la nube Si bien no se menciona específicamente en el aviso, Lewis dijo que los avances en la inteligencia artificial generativa plantean desafíos adicionales para proteger los entornos en la nube, es decir, que los atacantes están aprovechando la tecnología para diseñar ataques de phishing e ingeniería social más sofisticados. técnicas. También sugirió que muchas organizaciones rebasan la seguridad en la nube porque asumen que es responsabilidad del proveedor de servicios en la nube, cuando en realidad es una responsabilidad compartida. DESCARGAR: Esta política de capacitación y concientización sobre seguridad de TechRepublic Premium “Muchas organizaciones asumen erróneamente que el proveedor de la nube se encargará de todos los aspectos de la seguridad. Sin embargo, aunque el proveedor protege la infraestructura subyacente, el cliente sigue siendo responsable de configurar adecuadamente los recursos, la gestión de identidades y accesos y la seguridad a nivel de aplicaciones”, dijo. “Los líderes empresariales deben tomarse en serio la seguridad en la nube invirtiendo en habilidades, herramientas y procesos adecuados. Deben asegurarse de que los empleados tengan capacitación en seguridad y arquitectura de la nube para evitar configuraciones erróneas básicas. También deberían adoptar el modelo de responsabilidad compartida, para saber exactamente qué es de su competencia”. Consejos del NCSC para mantenerse seguro con respecto al aviso SVR El aviso del NCSC enfatiza la importancia de los fundamentos de la ciberseguridad, que incluyen: Implementación de MFA. Usar contraseñas seguras y únicas para las cuentas. Reducir la duración de las sesiones para tokens y sesiones de usuario. Implementar un principio de privilegio mínimo para las cuentas de sistema y servicio, mediante el cual a cada cuenta se le otorgan solo los niveles mínimos de acceso necesarios para realizar sus funciones. Esto minimiza el daño potencial de las cuentas comprometidas y restringe el nivel de acceso que podrían obtener los atacantes. «Una buena base de los fundamentos de la seguridad cibernética puede negar incluso una amenaza tan sofisticada como el SVR, un actor capaz de llevar a cabo un compromiso de la cadena de suministro global como el compromiso de SolarWinds de 2020», señala el aviso. DESCARGAR: Esta política de seguridad en la nube de TechRepublic Premium Más allá de esto, el aviso sugiere configurar cuentas de servicio canary, es decir, cuentas que parecen legítimas pero que en realidad se utilizan para monitorear actividades sospechosas en la red. Se deben implementar políticas de inscripción sin intervención siempre que sea posible para que solo los dispositivos autorizados puedan agregarse automáticamente a la red, y las organizaciones deben «considerar una variedad de fuentes de información, como eventos de aplicaciones y registros basados en host, para ayudar a prevenir, detectar e investigar posibles ataques maliciosos». comportamiento.» Lewis destacó la importancia de la colaboración para responder al panorama de amenazas en evolución, así como para garantizar que las empresas cuenten con las habilidades, las personas y los procesos adecuados para defenderse contra amenazas nuevas y emergentes. “La colaboración global entre agencias y empresas de ciberseguridad es fundamental para identificar y responder a amenazas sofisticadas. Los atacantes como APT29 piensan globalmente, por lo que los defensores también deben hacerlo”, dijo. “Compartir inteligencia sobre nuevas tácticas permite a las organizaciones de todo el mundo mejorar sus defensas y responder rápidamente. Ninguna agencia o empresa tiene visibilidad completa por sí sola”.
Imagen: Adobe/The KonG El UK Tech Cluster Group, que reúne a grupos tecnológicos de todo el país, ha lanzado un informe que describe los pasos que el próximo gobierno debería tomar para garantizar que las empresas de todo el país puedan aprovechar la innovación digital. El informe hace estas cuatro recomendaciones generales para el gobierno: Crear una fuente de talento tecnológico globalmente competitiva en cada región del Reino Unido Fomentar estrategias de transformación digital a nivel local. Desarrollar una “política de innovación del Reino Unido” que coloque la tecnología en el centro de las estrategias de desarrollo regional. Hacer más para apoyar financieramente a nuevas empresas emergentes en las regiones. ¿Qué tamaño tiene el mercado tecnológico del Reino Unido? El Reino Unido tiene un ecosistema tecnológico sólido; de hecho, el ecosistema de startups valía alrededor de 1,1 billones de dólares en 2023 (£897 mil millones), según datos de Dealroom (Figura A). Fintech es el sector más grande para la inversión de capital de riesgo, seguido por la atención médica y el transporte. Figura A: En 2023, el ecosistema de startups del Reino Unido valía alrededor de 1,1 billones de dólares (897 mil millones de libras esterlinas). Imagen: Dealroom Sin embargo, esa inversión está distribuida de manera muy desigual; la gran mayoría de la financiación se destina a empresas de Londres y el sureste, incluido el llamado Triángulo Dorado formado por Londres y las ciudades universitarias de Oxford y Cambridge. Londres tiene 87 empresas unicornio con un valor de más de mil millones de dólares (788 millones de libras esterlinas), según los datos de Dealroom, mientras que toda Escocia sólo tiene cuatro empresas unicornio. Esa economía digital está impulsando cada vez más el crecimiento económico del Reino Unido. Según una investigación de la Asociación de la Industria de Computación y Comunicaciones, la economía digital y el comercio minorista en línea del Reino Unido respaldan £227 mil millones ($288 mil millones) en actividad económica y más de 2,6 millones de empleos en el Reino Unido, lo que la convierte en la economía digital más avanzada de Europa. El salario medio en la economía digital ronda las 45.700 libras esterlinas al año (58.000 dólares), más de 12.000 libras esterlinas (15.000 dólares) o un 37% más que las 33.400 libras esterlinas (42.000 dólares) que se observan en el Reino Unido en su conjunto. Parte del desafío es ayudar a que las empresas tecnológicas prosperen de manera más amplia. «Aunque el dinero y las oportunidades no se distribuyen de manera equitativa, el talento sí lo está», afirmó Katie Gallagher, presidenta de UKTCG y directora general de Manchester Digital. “Elegimos centrarnos en las cuatro áreas que creemos que impactan más a las regiones. Se trata de garantizar que cada región tenga una cartera de talentos tecnológicos competitiva. Se trata de garantizar que la innovación digital se impulse desde los cimientos y garantizar que cada empresa tenga la oportunidad de comprender los beneficios de integrar lo digital y la tecnología en su empresa”, dijo Gallagher a TechRepublic en una entrevista por Zoom. VER: Impacto de la IA en los empleos en el Reino Unido: entre el 10% y el 30% de los trabajos podrían automatizarse con IA (TechRepublic) Alrededor del 70% de las empresas de IA están en Londres y el sureste, y solo el 30% en el resto del país. y eso empieza a dar “una cierta idea del desequilibrio” en términos de los ecosistemas tecnológicos en todo el país, dijo. Más sobre la innovación Impulsando la transformación digital en el Reino Unido El informe de UKTCG dice que es necesario hacer más para abordar las habilidades tecnológicas en el Reino Unido. Hay una serie de iniciativas diferentes en el Reino Unido, como programas de aprendizaje, T Levels y campamentos de programación que prometen brindar a los trabajadores la habilidades tecnológicas adecuadas, pero es difícil para las empresas entender a cuál de estos esquemas prestar atención. «El panorama de las habilidades es muy ruidoso», dijo Gallagher. UKTCG dijo que ese era particularmente el caso de las PYMES tecnológicas, que generalmente son empresas nuevas y no tienen funciones de recursos humanos establecidas ni redes industriales integradas a las que recurrir en busca de asesoramiento. Las PYMES necesitan incentivos para contratar nuevos talentos, de modo que más estudiantes de programas de habilidades puedan adaptarse a roles en la industria, afirmó. El informe también dice que si bien la adopción temprana de la tecnología digital puede impulsar un aumento de la productividad regional a largo plazo, los esfuerzos para fomentar esto a nivel central han fracasado en gran medida, mientras que señala que “los esfuerzos para hacerlo a nivel local han tenido gran éxito”. Dijo que era necesario hacer más para fomentar la adopción y la innovación digitales, pero esto debería realizarse a nivel local. “La necesidad de impulsar la productividad a través de la innovación digital no ha desaparecido ni desaparecerá”, señala el informe. También dijo que el gobierno del Reino Unido debería invertir en capacitación en liderazgo y gestión para las pymes tecnológicas. «Las empresas tecnológicas que han comenzado y crecido en nuestros ecosistemas no deberían perder el apoyo para desarrollar su liderazgo y capacidad de gestión», dice el informe. “También se trata de comprender que no todas las empresas buscan salir y convertirse en unicornios. Se trata de construir algunas de esas empresas hasta alcanzar tamaños sostenibles que generen empleos de buena calidad. Esas empresas medianas y pequeñas en general están impulsando las economías regionales”, dijo Gallagher. Construyendo una economía digital más amplia en el Reino Unido Al analizar la política de innovación del Reino Unido, el informe dice que el gobierno también debería trabajar para desarrollar programas que fomenten la colaboración entre empresas locales, instituciones locales como universidades y empresas tecnológicas ambiciosas que puedan fomentar la innovación regional y el crecimiento empresarial. . El informe también pide más apoyo financiero para las empresas de tecnología fuera del sureste de Inglaterra. “No todo el mundo puede permitirse el lujo de experimentar en una nueva empresa después de graduarse, con apoyo financiero y conexiones. El gobierno puede fomentar una cartera más sólida de nuevas empresas emergentes considerando la mejora del crédito fiscal para investigación y desarrollo y la subvención de fondos de apoyo para empresas innovadoras y spin-outs fuera del Triángulo Dorado”, dice el informe. Proporcionar incentivos fiscales específicos y planes de apoyo a las pistas ayudaría a que ideas más innovadoras se conviertan en valor comercial y buenos empleos, como se señala en el informe. Si bien fomentar el crecimiento de la industria tecnológica más allá del sudeste puede ser un desafío, las recompensas podrían ser significativas. Una investigación realizada por el organismo industrial techUK encontró que en Londres el “valor agregado bruto” del sector digital (una medida de productividad) era de £9,083 ($11,500), mientras que en West Midlands era de £2,055 ($2,605), y en Gales era sólo £1,348 ($1,709). Según techUK, si las seis regiones con el menor valor agregado bruto digital (esas regiones son el suroeste, East Midlands, Yorkshire y Humber, el noreste, Irlanda del Norte y Gales) pudieran alcanzar aproximadamente el mismo nivel que el promedio región del Reino Unido, podría aportar £4.8 mil millones adicionales ($6.1 mil millones) a la economía del Reino Unido, lo que generaría nuevos empleos, oportunidades y crecimiento.
La computación cuántica es el foco de una inversión de £45 millones ($57 millones) por parte del gobierno del Reino Unido anunciada el 5 de febrero. El dinero se destina a encontrar usos prácticos para la computación cuántica y crear una “economía habilitada para lo cuántico” para 2033. a prototipos y acelerador de negocios De la inversión total, £30 millones ($38 millones) se dedican al desarrollo y entrega de computadoras cuánticas novedosas y avanzadas. Parte de este dinero se destina a la creación de entornos controlados en los que ingenieros y científicos puedan experimentar. Los 15 millones de libras restantes (19 millones de dólares) de la inversión se destinan al Quantum Catalyst Fund, que se otorga a organizaciones del sector público con proyectos de computación cuántica destinados a resolver problemas prácticos como la optimización del uso público de la energía. En esencia, las empresas elegidas para la financiación del Centro Nacional de Computación Cuántica trabajarán en el desarrollo de hardware cuántico. Mientras tanto, el Quantum Catalyst Fund apoya estudios de viabilidad sobre cómo se puede utilizar la tecnología cuántica para mejorar los servicios públicos. Más sobre Innovación Ganadores nombrados en el concurso Quantum Computing Testbeds El Centro Nacional de Computación Cuántica anunció que siete empresas han avanzado a la siguiente ronda de competencia en su desarrollo de prototipos de hardware de computación cuántica: ORCA Computing. Iónicos de Oxford. Quanta fría Reino Unido. QuEra Reino Unido. Rigetti. Aegiq. Movimiento cuántico. Estas organizaciones están probando diferentes tipos de plataformas de computación cuántica (entre ellas de iones atrapados, superconductoras, fotónica y átomos neutros) para ver cuál es más efectiva para tipos particulares de problemas. Cada empresa estudia diferentes formas de trabajar con los qubits, la unidad básica de información en la computación cuántica. A continuación, las siete empresas elegidas tendrán acceso a una instalación del NQCC para desplegar sus plataformas. Se esperan resultados para marzo de 2025. El Quantum Catalyst Fund tiene como objetivo resolver los problemas del sector público El Quantum Catalyst Fund es administrado por Innovate UK (una división del organismo del sector público de investigación e innovación del gobierno del Reino Unido, UKRI) y el Departamento de Ciencia, Innovación y Tecnología. Las empresas que recibieron dinero del Quantum Catalyst Fund son: Quantinuum (simulaciones de química). MoniRail (navegación ferroviaria). Cerca Magnetics (imágenes cerebrales para afecciones como epilepsia, conmoción cerebral y demencia). Delta g (cartografía gravitacional). Q-CTRL UK (horarios de trenes optimizados cuánticamente). Phasecraft (mejora del uso de la energía en la red pública). Estas seis empresas fueron elegidas tras una primera fase del concurso que duró tres meses. En la fase 2, desarrollarán prototipos y demostrarán lo que hacen sus proyectos. «Estamos brindando a nuestras empresas e instituciones líderes en el mundo los recursos y herramientas necesarios para construir una base sólida en computación cuántica con el potencial de escalar sus actividades para obtener una ventaja competitiva a largo plazo», dijo Kedar Pandya, director ejecutivo de programas entre consejos. en UKRI, en el comunicado de prensa. «Esta inversión ayudará a nuestros investigadores e innovadores a desarrollar el plan para el hardware y software de computación cuántica y asegurará el lugar del Reino Unido en este campo en desarrollo». VER: La computación cuántica podría ser un negocio de 6.000 millones de dólares para Australia, aprovechando la inversión estadounidense. (TechRepublic) Búsqueda de usos prácticos para la computación cuántica Además de la inversión de £45 millones en febrero, el Reino Unido dedicó £2.5 mil millones ($3.1 mil millones) en marzo de 2023 en apoyo de la Estrategia Cuántica Nacional. Esta estrategia tiene como objetivo desarrollar tecnologías cuánticas durante 10 años, a partir de 2024. Las tecnologías cuánticas son una de las cinco tecnologías críticas del gobierno identificadas en el Marco de Ciencia y Tecnología del Reino Unido como tecnologías con el potencial de resolver desafíos sociales, crear empleos bien remunerados e impulsar la economía. «Las tecnologías cuánticas tienen el potencial de enfrentar algunos de los mayores desafíos que enfrenta la sociedad», dijo Will Drury, director ejecutivo de tecnologías digitales de Innovate UK, en el comunicado de prensa. «Al liberar una potencia informática que va mucho más allá de la tecnología digital existente, podemos alcanzar nuevas fronteras en detección, temporización, imágenes y comunicaciones».
Un cachorro de cocker spaniel se lo pasó muy entretenido en un viaje reciente al lavado de autos, persiguiendo el cepillo del trabajador e intentando agarrarlo a través del vidrio.
Source link