La inteligencia artificial ya no solo asiste, ahora puede desarrollar tareas autónomamente
José Elías Del Hierro Gamboa 
La discusión reciente sobre Claude Mythos enseña algo valioso: la inteligencia artificial ya no solo asiste, ahora puede desarrollar tareas autónomamente. Pero ¿qué ocurre cuando la tarea es un ataque informático?
En una evaluación del Instituto de Seguridad de IA del Reino Unido (AISI), el modelo completó, en simulación, la ruta de ataque hasta apoderarse de una red. No en vano, Anthropic decidió retrasar su lanzamiento al menos seis meses y dejarlo, por ahora, en manos de alrededor de 40 gigantes de la tecnología para que protejan sus sistemas antes del lanzamiento oficial.
Irónicamente, un borrador del modelo se filtró y está circulando.
Aunque los invito a revisar los detalles de la simulación, cabe preguntarse: ¿están preparadas las organizaciones para responder ante este tipo de ataques?
¿Cuál es el verdadero riesgo?
Sin perjuicio de que no lanzarlo sea un truco de mercadeo, estamos ante un sistema que puede identificar y explotar vulnerabilidades hasta tomar control.
En otras palabras, la IA entra sin “tumbar la puerta”. Lo hace a través de los proveedores a quienes legalmente se les abrió la puerta. Una vez adentro, toma las credenciales de los administradores y puede aprobar transacciones, alterar información, redactar correos o firmar documentos. Mientras tanto, borra sus huellas y hace ver al ataque como una operación de rutina.
Conocemos el riesgo, pero no su posibilidad de ocurrencia. Pero no deja de preocuparme el impacto en infraestructuras críticas: financieras, de salud, transporte o energía.
Una mirada legal
Aunque hay múltiples escenarios legales, quiero referirme al activo crítico de estos ataques: los datos.
¿Cómo prepararse?
Es ampliamente conocido que deben documentarse políticas y manuales. Pero no quiero reducir la conversación a esto, pues Mythos permite ir a dos conceptos que considero importante revisar.
El primero de ellos es la privacidad desde el diseño, que exige proteger los datos desde la concepción de cada proyecto o iniciativa. Esto implica definir roles específicos que evalúen el impacto que el proyecto va a tener en la privacidad y, así mismo, documenten, implementen, monitoreen y capaciten a los miembros de la organización en la protección de los datos.
El segundo de ellos es la responsabilidad demostrada, que de una u otra forma hace obligatoria la privacidad desde el diseño. Exige contar con un programa integral de gestión de datos y estar preparados para probar la implementación de todas las medidas técnicas y organizativas proporcionales al riesgo que representa el proyecto o iniciativa que se va a poner en marcha.
Esto implica entonces contar con una estructura para implementar las políticas y manuales, la implementación de herramientas, monitoreos y capacitación, así como procesos para atender los reclamos y consultas de los titulares de la información.
La ley no exige sistemas «invulnerables», pero sí poder probar lo que se hizo para protegerlos. Independientemente de si la capacidad de Mythos es real, este es un buen momento para informarse, asesorarse e incluir, con urgencia, la seguridad de los sistemas y datos dentro de las prioridades de cada equipo o junta directiva.
José Elías Del Hierro Gamboa es director del área de Derecho Digital y Tecnologías Emergentes en Del Hierro Abogados y de las prácticas de Propiedad Intelectual, Protección de Datos Personales y Derecho Publicitario. Es abogado por la Pontificia Universidad Javeriana, cuenta con una Maestría en Leyes (LL.M.) y un MBA por IE University (Madrid, España). Cuenta además con formación de posgrado en estrategia e innovación y está habilitado como conciliador en derecho por la Cámara de Comercio de Bogotá.
