“AI-First” del Gobierno de EE. UU.: Riesgos Mayores y Privacidad en Juego

El gobierno de EE. UU. está embarcándose en una ambiciosa "estrategia AI-first" para integrar la inteligencia artificial en todas sus funciones, una medida delineada en un nuevo plan de acción anunciado el 23 de julio. Esta iniciativa, impulsada por la administración Trump, busca aprovechar la IA para mejorar la eficiencia y las capacidades, pero también suscita importantes preocupaciones entre los expertos en cuanto a los riesgos de privacidad y ciberseguridad.

Como parte de este impulso, el Departamento de Defensa de EE. UU. adjudicó recientemente contratos por valor de 200 millones de dólares a destacadas firmas de IA, incluyendo Anthropic, Google, OpenAI y xAI. Notablemente, xAI de Elon Musk ha presentado "Grok for Government", permitiendo a las agencias federales adquirir productos de IA a través de la Administración de Servicios Generales. Estos desarrollos siguen a informes de que el Departamento de Eficiencia Gubernamental, un grupo asesor, ha estado agregando datos personales sensibles —incluyendo información de salud, impuestos y otra información protegida— de varios departamentos gubernamentales como el Departamento del Tesoro y Asuntos de Veteranos, en una base de datos centralizada.

Los expertos advierten que procesar dicha información sensible con herramientas de IA, especialmente si se relajan las salvaguardias de acceso a los datos, podría conducir a graves violaciones de privacidad y vulnerabilidades de ciberseguridad.

Bo Li, experto en IA y seguridad de la Universidad de Illinois Urbana-Champaign, destaca el riesgo de "fuga de datos". Los modelos de IA entrenados o ajustados con datos sensibles pueden memorizar y posteriormente revelar inadvertidamente esa información. Por ejemplo, al consultar un modelo entrenado con datos de pacientes, no solo se podría divulgar el número de personas con una determinada enfermedad, sino también potencialmente filtrar las condiciones de salud, números de tarjetas de crédito, direcciones de correo electrónico o direcciones residenciales de individuos específicos. Además, si la información privada se utiliza en el entrenamiento de un modelo de IA o como referencia para sus salidas, el modelo podría usarla para extraer nuevas inferencias, potencialmente reveladoras, al vincular puntos de datos personales dispares.

Jessica Ji, experta en IA y ciberseguridad del Centro de Seguridad y Tecnología Emergente de la Universidad de Georgetown, señala que consolidar datos de diversas fuentes en un gran conjunto de datos crea un objetivo más atractivo y vulnerable para los ciberataques. En lugar de tener que violar múltiples agencias, los actores maliciosos podrían centrarse en un único y completo repositorio de datos. Históricamente, las organizaciones de EE. UU. han evitado vincular la información de identificación personal con detalles sensibles como las condiciones de salud. Ji enfatiza que la consolidación de datos gubernamentales para el entrenamiento de IA conlleva riesgos sustanciales, aunque abstractos, para la privacidad y las libertades civiles. Los vínculos estadísticos establecidos dentro de vastos conjuntos de datos que contienen información financiera y médica podrían afectar negativamente a los individuos de maneras que son difíciles de rastrear hasta el propio sistema de IA.

Li detalla tipos específicos de ciberataques posibles contra modelos de IA:

• Ataques de membresía (Membership attacks) tienen como objetivo determinar si los datos de un individuo en particular fueron incluidos en el conjunto de datos de entrenamiento del modelo de IA al consultar el modelo.
• Ataques de inversión de modelo (Model inversion attacks) van más allá, buscando reconstruir no solo la membresía sino también el registro completo de datos sensibles de un individuo a partir de los datos de entrenamiento.
• Ataques de robo de modelo (Model stealing attacks) implican extraer la estructura subyacente o los "pesos" de un modelo de IA, que luego pueden usarse para potencialmente filtrar datos adicionales o replicar el modelo con fines maliciosos.

Aunque existen defensas como los "modelos de barandilla" (AI firewalls que filtran información sensible en entradas y salidas) y el "desaprendizaje" (estrategias para hacer que los modelos olviden información específica), Li advierte que no son soluciones completas. El desaprendizaje a veces puede degradar el rendimiento del modelo y no garantiza la eliminación completa de datos, mientras que las barandillas requieren un fortalecimiento constante contra los métodos de ataque en evolución.

Dados estos riesgos, los expertos ofrecen recomendaciones críticas. Ji subraya la importancia de priorizar la seguridad, sopesar cuidadosamente los riesgos frente a los beneficios y adaptar los procesos de gestión de riesgos existentes a la naturaleza única de las herramientas de IA. Ella señala un desafío común: la presión de arriba hacia abajo dentro de las organizaciones para adoptar rápidamente sistemas de IA a menudo deja a los encargados de la implementación bajo una inmensa presión, lo que podría llevar a despliegues apresurados sin una consideración adecuada de las ramificaciones.

Li recomienda emparejar cada modelo de IA con una barandilla como un paso de defensa fundamental para proporcionar al menos cierto nivel de protección. Ambos expertos abogan por el "red teaming" continuo —involucrar a hackers éticos para que prueben los sistemas de IA en busca de vulnerabilidades— para descubrir proactivamente nuevas debilidades con el tiempo. Ji también destaca los riesgos basados en procesos, donde las organizaciones pierden visibilidad y control sobre cómo sus propios empleados manejan los datos. Sin políticas claras que prohíban el uso de chatbots de IA comerciales para código interno o información sensible, por ejemplo, los empleados podrían exponer inadvertidamente datos propietarios si la plataforma del chatbot utiliza la entrada para su propio entrenamiento.

En esencia, si bien el enfoque "all-in" del gobierno de EE. UU. hacia la IA promete eficiencia, los expertos instan a una estrategia equilibrada que priorice medidas de seguridad robustas, gestión de riesgos adaptativa y vigilancia continua para salvaguardar la información sensible y las libertades civiles.