La inteligencia artificial generativa continúa evolucionando a una velocidad extraordinaria. Sin embargo, cada nuevo avance trae consigo una pregunta fundamental: ¿son realmente seguros estos sistemas?
La respuesta vuelve a estar sobre la mesa tras conocerse que un investigador de ciberseguridad logró eludir en menos de 48 horas las medidas de protección incorporadas en Claude Fable 5, uno de los modelos más avanzados desarrollados por Anthropic para tareas relacionadas con la ciberseguridad. Según la información publicada por Europa Press, el investigador consiguió acceder a contenidos que el sistema debía bloquear, incluyendo información relacionada con técnicas de ataque informático y procesos químicos sensibles.
Cuando la seguridad de la IA no es suficiente
Claude Fable 5 fue presentado como la versión pública de la tecnología «Mythos», una familia de modelos diseñada para ofrecer capacidades avanzadas en análisis de software, detección de vulnerabilidades y tareas complejas de investigación tecnológica. Debido al potencial uso indebido de estas capacidades, Anthropic implementó mecanismos de seguridad destinados a impedir que el sistema proporcionara información relacionada con ciberataques, biología o química sensible.
Entre estas medidas se encontraba la redirección automática de determinadas consultas hacia un modelo menos potente cuando el sistema detectaba solicitudes potencialmente peligrosas. Sin embargo, el investigador conocido como «Pliny the Liberator» consiguió sortear estas restricciones mediante técnicas de fragmentación de instrucciones, descomposición de tareas y manipulación del contexto de las conversaciones.
El resultado vuelve a demostrar una realidad incómoda para toda la industria tecnológica: ningún sistema de IA es completamente inmune a los intentos de evasión de sus controles.
Un problema que afecta a toda la industria
Lo ocurrido con Claude Fable 5 no es un caso aislado. En los últimos años, prácticamente todos los grandes modelos de lenguaje han sido objeto de técnicas conocidas como jailbreaks, cuyo objetivo consiste en engañar a la inteligencia artificial para que ignore las restricciones impuestas por sus desarrolladores.
Estos incidentes ponen de manifiesto una de las principales dificultades de la IA generativa actual: la seguridad no depende únicamente del modelo, sino también de los mecanismos de supervisión, filtrado y control que lo rodean.
A medida que los modelos adquieren mayores capacidades para analizar código, detectar vulnerabilidades o automatizar tareas complejas, también aumenta el riesgo de que estas mismas capacidades puedan utilizarse con fines maliciosos si las barreras de protección resultan insuficientes.
¿Qué implicaciones tiene para las empresas?
Para muchas organizaciones, la noticia no debe interpretarse como una razón para abandonar la IA, sino como un recordatorio de que estas herramientas deben incorporarse dentro de una estrategia de gestión de riesgos.
Las empresas que utilizan soluciones de inteligencia artificial deberían considerar aspectos como:
- Evaluar los riesgos asociados a cada herramienta antes de su implantación.
- Establecer políticas claras sobre el uso de IA por parte de empleados y colaboradores.
- Limitar el acceso a información sensible o confidencial.
- Supervisar las respuestas generadas por sistemas de IA antes de utilizarlas en procesos críticos.
- Incorporar controles de seguridad y auditoría específicos para aplicaciones basadas en inteligencia artificial.
La confianza en la tecnología no puede sustituir a la supervisión humana ni a las medidas de seguridad tradicionales.
Solicita más información sobre como mejorar la ciberseguridad en la empresa: (+34) 963 122 868
IA, cumplimiento normativo y protección de datos
Desde la perspectiva del cumplimiento normativo, este tipo de incidentes también refuerza la importancia de aplicar principios como la privacidad desde el diseño, la gestión de riesgos y la responsabilidad proactiva.
El Reglamento General de Protección de Datos (RGPD) y el nuevo Reglamento Europeo de Inteligencia Artificial (AI Act) exigen a las organizaciones evaluar los riesgos asociados a los sistemas automatizados que utilizan, especialmente cuando pueden afectar a la seguridad, los derechos de las personas o el tratamiento de información sensible.
La aparición constante de vulnerabilidades, técnicas de evasión y fallos en los mecanismos de control demuestra que la gobernanza de la IA debe convertirse en una prioridad estratégica para cualquier organización.
La IA también necesita supervisión
La rápida vulneración de las protecciones de Claude Fable 5 evidencia que los sistemas de inteligencia artificial más avanzados siguen estando expuestos a nuevas formas de ataque y manipulación.
La verdadera cuestión ya no es si una IA puede fallar, sino cómo las organizaciones se preparan para gestionar esos fallos cuando ocurran.
La seguridad, la protección de datos y el cumplimiento normativo deben avanzar al mismo ritmo que la innovación tecnológica. Solo así será posible aprovechar el potencial de la IA sin asumir riesgos innecesarios.
Buenas prácticas para utilizar la IA de forma segura en las empresas
Casos como el de Claude Fable 5 ponen de manifiesto que la inteligencia artificial, por avanzada que sea, no debe considerarse una tecnología exenta de riesgos. Su adopción en entornos empresariales debe ir acompañada de medidas de seguridad, procedimientos de control y una adecuada gestión de los riesgos asociados.
Entre las principales recomendaciones para un uso seguro de la IA destacan:
1. No introducir información sensible sin control
Uno de los errores más frecuentes es utilizar herramientas de IA generativa para procesar información confidencial, datos personales o documentación estratégica sin conocer cómo serán tratados esos datos. Antes de utilizar cualquier plataforma es fundamental revisar sus condiciones de uso, las políticas de privacidad y las opciones de configuración relacionadas con el tratamiento de la información.
2. Establecer políticas internas de uso de la IA
Las organizaciones deben definir qué herramientas están autorizadas, para qué finalidades pueden utilizarse y qué tipo de información está permitido compartir con ellas. Estas políticas deben formar parte de las normas internas de seguridad y ser conocidas por todos los empleados.
3. Mantener la supervisión humana
Las respuestas generadas por sistemas de IA pueden contener errores, información desactualizada o conclusiones incorrectas. Por ello, cualquier contenido generado por estas herramientas que pueda afectar a clientes, proveedores o decisiones empresariales debe ser revisado y validado por personal cualificado.
4. Formar y concienciar a los empleados
La seguridad de la IA no depende únicamente de la tecnología. Los usuarios deben comprender los riesgos asociados a la filtración de información, las técnicas de ingeniería social asistidas por IA o la generación de contenidos falsos que pueden utilizarse en campañas de fraude y ciberataques.
5. Evaluar los riesgos antes de implantar soluciones de IA
Al igual que ocurre con cualquier otra tecnología, es recomendable realizar análisis de riesgos que permitan identificar amenazas potenciales, valorar su impacto y definir medidas de mitigación adecuadas antes de desplegar sistemas basados en inteligencia artificial.
El papel de la ISO 27001 y el Esquema Nacional de Seguridad
Aunque ni la norma ISO 27001 ni el Esquema Nacional de Seguridad (ENS) fueron diseñados específicamente para la inteligencia artificial, ambos marcos proporcionan una base sólida para gestionar muchos de los riesgos asociados a estas tecnologías.
La ISO 27001 establece un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la identificación, evaluación y tratamiento continuo de riesgos. Su aplicación permite a las organizaciones:
- Clasificar adecuadamente la información que utilizan los sistemas de IA.
- Controlar los accesos a datos y aplicaciones.
- Gestionar proveedores tecnológicos y servicios en la nube.
- Implantar mecanismos de monitorización y respuesta ante incidentes.
- Garantizar la mejora continua de los controles de seguridad.
Por su parte, el Esquema Nacional de Seguridad (ENS), de aplicación obligatoria en el sector público y cada vez más demandado en el ámbito privado, incorpora medidas organizativas, operacionales y técnicas que contribuyen a reforzar la protección de los sistemas de información frente a amenazas cada vez más sofisticadas.
Entre sus beneficios para entornos que utilizan inteligencia artificial destacan:
- La gestión integral de riesgos.
- La protección de la información según su nivel de sensibilidad.
- La trazabilidad de las operaciones realizadas sobre los sistemas.
- La aplicación del principio de mínimo privilegio.
- La monitorización continua y la detección temprana de incidentes.
- La gobernanza de la IA como ventaja competitiva
La inteligencia artificial ofrece enormes oportunidades para mejorar la productividad y la innovación, pero también introduce nuevos vectores de riesgo que deben ser gestionados adecuadamente. Las organizaciones que integren la IA dentro de sus sistemas de gestión de seguridad, apoyándose en marcos reconocidos como ISO 27001 o el Esquema Nacional de Seguridad, estarán mejor preparadas para aprovechar sus beneficios sin comprometer la seguridad de la información, la privacidad ni el cumplimiento normativo.
Más allá de la tecnología, la clave seguirá siendo la misma: combinar innovación, gestión de riesgos y una adecuada cultura de seguridad.
