Ni el uso de la inteligencia artificial (AI, por sus siglas en inglés) per sé preocupa tanto a los líderes IT en términos de ciberseguridad, como una falla en la llamada capa ocho; es decir, el talento humano.

En el último encuentro de 2024 del IT Masters Club de Netmedia —casa editorial de este sitio—, 15 líderes IT de grandes organizaciones en el centro del país dialogaron en la mesa redonda La doble cara de la AI: un enfoque de seguridad centrado en el humano.

La reunión contó con el apoyo de la firma de ciberseguridad ESET. En su discurso de apertura, el director general para México de la empresa, Luis Vázquez, resaltó la importancia de la inteligencia artificial para las organizaciones.

“Además de beneficiarlas, también abre puertas para los cibercriminales”, advirtió y señaló que los actores de amenazas también usan esta tecnología para hacer ataques a una mayor velocidad. “En México, según nuestros datos, se están desarrollando casi 50,000 ataques al día”, apuntó.

La AI solo se combate con AI

Vázquez dio la palabra a Fátima Rodríguez, quien —dijo— es la responsable de hacer todas las estrategias y servicios que desarrollamos en ESET México con respecto a servicios ofensivos. Aunque recordó que también ofrecen los defensivos.

“Las tecnologías emergentes nos están alcanzando con una velocidad vertiginosa”, dijo la especialista y, ante ello, destacó la relevancia de encuentros de este tipo para discutir sobre cuáles son las preocupaciones, desafíos o retos que se enfrentan y descubrir juntos las mejores estrategias.

A manera de introducción, la directora general de Netmedia, Mónica Mistretta, comentó que conforme evoluciona la AI, “actúa como un escudo para proteger sistemas o datos, pero representa también un arma para los atacantes que crean cada vez amenazas más reales y devastadoras”.

En su opinión, “el phishing hecho con AI es tan certero que se necesita inteligencia artificial para combatirlo”. Y habló del caso de la compañía telefónica británica O2, que como parte de sus esfuerzos para frenar a los estafadores telefónicos, creó a Daisy Harris, una abuela generada con AI, cuyo propósito es hacerles perder mucho tiempo.

La mitad de las organizaciones ya usan AI

Para iniciar la conversación, a los asistentes se les preguntó, mediante un sondeo instantáneo, si en sus organizaciones ya utilizaban herramientas de inteligencia artificial para detectar amenazas de ciberseguridad.

La mitad respondió que sí; 31% dijo que estaban en proceso de evaluar soluciones, y 15% señaló que no.

Este último, es el caso de Corporación Interamericana de Entretenimiento (CIE). Su director de Tecnologías de la Información, Guillermo Reyes, compartió que si bien han implementado herramientas de ciberseguridad, será hasta 2025 cuando revisarán cómo integrar AI. “El grupo ya sabe que lo tenemos que hacer. Ya tenemos gran parte del presupuesto”, dijo.

El director de IT del Instituto Politécnico Nacional (IPN), Rafael Sánchez, vive un caso similar. “Actualmente no estamos usando AI en ciberseguridad”, admitió.

Al tener grandes especialistas, indicó, el principal tema no es la tecnología, “sino disciplinario, en cuanto a los procedimientos, y siendo una institución de Gobierno federal es particularmente complicado: son 26 pasos los que hay que recorrer. El ciclo es larguísimo”.

Capacitación y cultura: claves para el futuro

En contraste, la CIO de Estafeta Mexicana, Adriana Islas, señaló que “no habría manera de hacer ese monitoreo proactivo, ni detener esas amenazas sin ese tipo de herramientas. Las hemos usado desde hace rato”.

En la misma línea, se expresó el director de Seguridad Informática de Banco Actinver, Fernando Camacho: “La posibilidad de poder poner reglas o programas para detectar algo es imposible. Lo único que nos está quedando es la AI”.

Camacho explicó que en los últimos seis meses han usado esta tecnología. “Empezamos probando dos herramientas de AI al mismo tiempo, porque todavía pueden tener sus fallas”.

La CIO Latam de Stanley Black & Decker, Guadalupe Azuara, indicó que en su caso fue un proyecto de la compañía durante 2024. “Se hizo una estrategia global con el trabajo de los equipo de seguridad para implementar AI, sobre todo en la detección de amenazas”.

Azuara comentó que al ser una empresa global que reporta en la bolsa, “es muy importante cuidar los activos de la compañía”.

El subdirector de Infraestructura y Seguridad IT de Fanafesa, Milton Mejía, señaló que tienen muchos intentos de implementar AI, aprovechando toda la información de hospitales, aseguradoras. Incluso, dijo que usan varias soluciones del lado de ciberseguridad.

“Es muy importante tener tu infraestructura al día. Enfrentamos 20,000 ataques a la semana”, dijo.

Retos en la implementación de AI

El director de Sistemas e IT de ICEE de México, Marco Antonio Gómez, compartió su experiencia como cliente de ESET. “Tenemos la consola en la nube, alrededor de 500 licencias y los endpoints los controlamos con nuestros celulares”.

Añadió que la plataforma permite tener un control total y detalló que trabajan en el análisis predictivo. “Estamos tratando de usar AI para ser predictivos, son herramientas del futuro, pero no queremos apostar todo ahora a eso”.

Gómez coincidió en el enfoque de capacitación: “Capacitamos mucho a nuestra gente” y habló de los ejercicios de phishing que realizan.

Para el director de Tecnologías de la Información y Automatización de Organon, Juan Edgar Martínez, la solución tiene que ir de la mano con la estrategia tecnológica, de negocio.

Mártínez afirmó que “no podemos dejarle todo a la AI. Tiene que haber educación al personal”.

Islas, de Estafeta Mexicana, quien comentó que tienen un equipo pequeño, apuntó que “hoy en día nuestra mayor preocupación es la inteligencia no artificial. Estamos haciendo mucha capacitación porque es la parte floja de la cuerda. El mayor riesgo que tenemos es la gente”.

El gerente regional de IT para América del Norte de Techint E&C, Claudio Auciello, aseguró que “tuvimos un problema importante para concientizar a nuestro presidente y a nuestros directores”.

Sin embargo, apuntó que una empresa del grupo tuvo un ataque por lo que “se concientizaron y se creó un comité”.

El CISO de Compañía Mexicana de Traslado de Valores, Héctor Rodríguez, reflexionó respecto a que más que concientizar, se necesita cambiar la cultura. “Damos muchos cursos, boletines y demás… pero no estamos logrando cambiar la cultura de todo el personal”.

De hecho, agregó que ahora se apoyan de herramientas tecnológicas, “porque las capacitaciones no estaban siendo efectivas”.

Rodríguez concluyó que se debe “tener una estrategia de ciberseguridad que equilibre herramientas tecnológicas con desarrollo de talento humano. Y la estrategia tecnológica, además, debe definirse a partir de identificar las herramientas adecuadas y la capacitación”.

¿Quién debe usar la AI?

A la segunda pregunta, sobre la integración que tienen las soluciones de inteligencia artificial en su estrategia de ciberseguridad, la mayoría (62%) reconoció que lo están parcialmente y que son utilizadas en áreas específicas.

Sobre el caso de AXA Seguros, su CISO Efraín Baldenebro, compartió que tienen implementado a nivel global SecureGPT, al que todos los empleados tienen acceso. “Nos enfrentamos a dilemas como quién debe usar AI. No solo en las áreas de IT, sino del negocio”.

Martínez, de Organon, añadió: “Las áreas de tecnología están aprendiendo a controlar la AI. No todo el negocio está cubierto ni educado para utilizar estas herramientas”.

Azuara, de Stanley Black & Decker, explicó que tienen varios frentes de AI: desde soluciones de ciberseguridad para un grupo especializado o de analytics, hasta ChatGPT para la documentación de procesos dado que tienen mucha rotación de personal y herramientas para el manejo de imágenes en marketing.

En su caso, agregó Baldenebro de Actinver, “invertimos en tener toda la infraestructura y luego empezamos a hacer prompt master”. Y señaló que “generaron casos de usos fantásticos, encontramos que la GenAI no es fuerte para el cálculo matemático, pero sí para hacer resúmenes o análisis”.

Ventajas y oportunidades de la AI en ciberseguridad

Respecto a las mayores oportunidades que ofrece la inteligencia artificial para la ciberseguridad, los asistentes coincidieron en la posibilidad de ser más proactivos.

En palabras del director IT de Vertiche, Fernando Domínguez, la proactividad debe entenderse como prevención.

”La estamos usando más para un tema reactivo porque el delincuente va un paso adelante de cualquier herramienta y necesitamos tomar decisiones adecuadas en tiempo”, indicó.

El director de Tecnología de Información y Transformación de Sabormex, Armando Méndez, opinó que en “lo que podemos tomar ventaja es que tiene una gran cantidad de datos y es capaz de procesarlos más rápido que cualquier humano o cualquier herramienta de ciberseguridad del pasado”.

De acuerdo con Méndez, la AI identifica patrones a mayor velocidad puesto que los vectores de ataque se repiten. “Los ciberdelincuentes se ayudan de la AI para conocer cómo nos estamos defendiendo. Es una lucha entre los criminales y los buenos”, aseveró.

Camacho, de Actinver, coincidió en la idea de patrones. “Los sistemas de AI ayudan a detectar comportamientos de los empleados fuera de los patrones”, señaló al tiempo que advirtió que “no se trata de tener una máquina que nos resuelva todo. Son herramientas que detrás deben tener analistas”.

Para el director de Seguridad de la Información del Banco Nacional de Obras y Servicios Públicos (Banobras), Humberto Rosales, “la mayor oportunidad que nos da la AI es crear una estrategia informada de cómo proteger a nuestra organización”.

Presupuesto, entre los mayores desafíos

En cuanto a los desafíos que enfrentan en la implementación de AI para la ciberseguridad, los asistentes vieron dos principales: resistencia por parte del personal y el ejercicio del presupuesto.

Para el director de IT de Servicios de Capital Humano Axo, Jesús López-Portillo, otro de ellos es el “desconocimiento sobre cómo implementarla que puedes tener en tu propio equipo”.

Y aconsejó: “Tienes que saber a profundidad lo que va a implementar y lo tienes que hacer poco a poco”.

En sus conclusiones, Vázquez de ESET respondió a las inquietudes sobre el presupuesto. “Cuando ya fuimos vulnerados, ¿qué nos cuesta más barato: prevenir o remediar?”.

También se refirió a la ausencia de una legislación clara sobre la ciberseguridad y la AI que permita, por ejemplo, fincar la responsabilidad de forma directa a un empleado que haya utilizado una herramienta de este tipo para robar información.

“Tenemos que adelantarnos, futurear. Y eso también es concientizar”, recomendó.

Participantes

Claudio Auciello, gerente regional de IT para América del Norte de Techint E&C; Guadalupe Azuara León, CIO Latam de Stanley Black & Decker; Efraín Baldenebro Ortiz, CISO de AXA Seguros; Fernando Camacho Ibarra, director de Seguridad Informática de Banco Actinver; Fernando Alberto Domínguez Reyes, director IT de Vertiche; Marco Antonio Gómez Moreno, director de Sistemas e IT de ICEE de México; Adriana Islas Molinar, CIO de Estafeta Mexicana; Jesús Salvador López-Portillo Huerta, director de IT de Servicios de Capital Humano Axo; Juan Edgar Martínez Requenes, director de Tecnologías de la Información y Automatización de Organon; Milton C. Mejía Galván, subdirector de Infraestructura y Seguridad IT de Fanafesa; Armando Méndez Hernández, director de Tecnología de Información y Transformación de Sabormex; Guillermo Reyes González, director de Tecnologías de la Información de Corporación Interamericana de Entretenimiento (CIE); Héctor Rodríguez López, CISO de Compañía Mexicana de Traslado de Valores; Humberto David Rosales Herrera, director de Seguridad de la Información de Banco Nacional de Obras y Servicios Públicos (Banobras), y Leonardo Rafael Sánchez Ferreiro, director de IT y coordinador general del Centro Nacional de Cálculo (CNC) del Instituto Politécnico Nacional (IPN).