Análisis de aplicaciones creadas por IA expone los límites de seguridad informática
Hace poco tiempo, hablar de inteligencia artificial era imaginar a trabajadores ofreciendo secretos corporativos en ChatGPT. Hoy en día, el problema es masivo, debido a que los empleados se encuentran diseñando aplicaciones completas con IA, conectándolas a sistemas críticos de producción y lanzándolas a la Internet abierta.
Todo esto ocurre sin que los equipos de seguridad o TI tengan la menor idea, debido a que el peligro ha mutado, se ha pasado de un simple prompt a un producto funcional, por lo que el riesgo se ha expandido con él.
Un informe de expertos que ha resultado disruptivo y acaparó la atención en múltiples medios tradicionales y digitales, revelan datos alarmantes, debido a que se detectaron más de 400 mil activos web públicos expuestos en las principales plataformas de vibe coding, en donde unos 5 mil sitios webs pertenecían a corporaciones.
Lo peor es que más de 2 mil de ellas albergaban datos operativos, financieros, personales confidenciales y estaban ahí, indexadas en la red, desplegadas sin configuraciones básicas de ciberseguridad y otorgando acceso de administrador por defecto a cualquiera que hiciera clic o pulsara la ULR.
En total, hay seis continentes afectados y sectores de todo tipo bajo la lupa, con cero hackeos necesarios. Mientras tanto, esas mismas corporaciones superaban sus auditorías internas con estas brechas abiertas de par en par, por lo que están nuevas variante de IA oculta no va de prompts, sino de productos.
El vibe coding, ese entorno de desarrollo guiado por IA en donde cualquiera puede desarrollar software funcional con solo describir lo que necesita, ha transformado los plazos. Lo que antes exigía meses de trabajo a un equipo entero de ingenieros, ahora un trabajador sin conocimientos técnicos lo sube a la red antes de la hora de almuerzo.
Un responsable de marketing diseña un gestor de campañas y lo vincula a la herramienta de BI que maneja las métricas reales. Un jefe de operaciones desarrolla un formulario para proveedores y lo conecta al sistema de soporte, mientras que el equipo de finanzas arma un panel de control para la junta directiva y absorbe facturas antes de que la semana termine.
Las organizaciones dependen de la ciberseguridad para poder continuar con el negocio, debido a que una intrusión puede detener todos sus procesos. Por ello, TIC Defense tiene como misión proteger los activos digitales de las empresas, ejecutando servicios y soluciones innovadoras y que se enfocan en la prevención y respuesta rápida a incidentes.
Esas aplicaciones se conectan directamente a sistemas centrales autorizados como CRM, ERP, bases de datos, entre otros, y se publican en la web abierta bajo criterios de seguridad que el desarrollador ha improvisado. Sin embargo, puede que no haya mala intención, ya que son profesionales eficientes resolviendo problemas reales más rápido que la burocracia de su propia compañía, haciendo exactamente lo que estas plataformas prometen.
Además, el software tampoco es el villano, debido a que solo ofrece lo que el mercado pide. El verdadero desfase se encuentra en los controles técnicos y culturales que deberían vigilar el software una vez desarrollado.
Esto no es el Shadow IT de siempre, aquello tenía límites claros: si un departamento contrataba Trello con la tarjeta de la organización sin avisar, los datos quedaban atrapados en un SaaS externo, pero la identidad, los accesos y el marco de control seguían existiendo.
