NIST agiliza la seguridad de la IA: Guía práctica sin reinventar la rueda

El Instituto Nacional de Estándares y Tecnología (NIST) está guiando estratégicamente a la comunidad de ciberseguridad a través del complejo panorama de la inteligencia artificial, con el objetivo de proporcionar marcos de seguridad esenciales sin abrumar a los profesionales con directrices completamente nuevas. Este enfoque medido busca evitar “reinventar la rueda”, integrando en cambio las consideraciones de seguridad de la IA en las prácticas establecidas y las directrices existentes.

La rápida proliferación de las tecnologías de IA presenta un doble desafío: la IA puede mejorar significativamente las defensas cibernéticas, pero también introduce nuevos vectores de ataque que las medidas de seguridad tradicionales a menudo tienen dificultades para abordar. Con más del 90% de los profesionales de ciberseguridad expresando preocupación por las amenazas habilitadas por la IA, la necesidad de una guía clara y accionable es más apremiante que nunca. Reconociendo esto, NIST se está centrando en reforzar la seguridad y la confiabilidad de los sistemas de IA, basándose en su trabajo fundamental.

Una piedra angular de la estrategia de NIST es el Marco de Gestión de Riesgos de IA (AI RMF), publicado en enero de 2023. Este marco voluntario ofrece un enfoque estructurado para gestionar los riesgos asociados a la IA, enfatizando la confiabilidad, la rendición de cuentas, la transparencia y el comportamiento ético a lo largo del ciclo de vida de un sistema de IA. El AI RMF está diseñado para ser flexible y adaptable, construyendo sobre marcos existentes como el Marco de Ciberseguridad (CSF) de NIST y el Marco de Privacidad de NIST. Como un refinamiento adicional, NIST también lanzó un Perfil de IA Generativa para el AI RMF en julio de 2024, abordando específicamente los riesgos únicos planteados por estos modelos avanzados.

Más allá del AI RMF, NIST está desarrollando activamente un “Perfil de Ciberseguridad de IA” bajo el paraguas de su Marco de Ciberseguridad (CSF) 2.0. Este perfil tiene como objetivo ayudar a las organizaciones a prepararse y gestionar mejor los riesgos cibernéticos relacionados con la IA, incluidos los planteados por atacantes que aprovechan las herramientas de IA para ataques cibernéticos mejorados como los deepfakes y el phishing avanzado. Se anticipa un borrador de este perfil crucial dentro de los próximos nueve meses a un año, y NIST busca activamente la retroalimentación pública a través de talleres y solicitudes de información para asegurar su utilidad práctica. A principios de agosto de 2025, una sesión virtual planificada para recopilar aportes sobre el Perfil de Ciberseguridad de IA encontró dificultades técnicas, lo que subraya la naturaleza dinámica y evolutiva de estos esfuerzos colaborativos.

Además, NIST planea emitir una nueva superposición de control para su serie de Publicaciones Especiales 800-53, dirigida específicamente a los riesgos únicos inherentes a los sistemas de IA, esperada dentro de los próximos seis a doce meses. La agencia también está trabajando para integrar las consideraciones de IA en el Marco de Fuerza Laboral de NICE para la Ciberseguridad, introduciendo un Área de Competencia de Seguridad de IA y actualizando los roles de trabajo para reflejar el impacto evolutivo de la IA en la fuerza laboral de ciberseguridad. Este enfoque holístico asegura que no solo las tecnologías estén protegidas, sino que el elemento humano responsable de su defensa también esté equipado con los conocimientos y habilidades necesarios.

El compromiso de NIST de evitar esfuerzos redundantes es evidente en su iniciativa de “borradores cero”, que acelera el establecimiento de estándares de IA y expande la participación al solicitar retroalimentación temprana sobre la guía para las pruebas, evaluación, verificación y validación de la IA. Al aprovechar las prácticas probadas de desarrollo seguro de agencias como CISA y adaptarlas al contexto de la IA, NIST tiene como objetivo proporcionar una guía que sea efectiva y fácilmente integrable en los procesos organizacionales existentes. Este enfoque estratégico permite a los profesionales de ciberseguridad gestionar el impacto multifacético de la IA en su trabajo sin sentirse abrumados, fomentando un futuro digital más seguro y resiliente.