A ocho años de la implementación del RGPD, el uso creciente de modelos de inteligencia artificial, como «Claude Mythos» de Anthropic, plantea nuevos desafíos para las empresas respecto al cumplimiento normativo. Nuevos vectores de ataque y un riesgo elevado de ciberataques complican la situación.
El Field CTO de Commvault, Mark Molyneux, resaltó que las empresas deben adoptar medidas proactivas para enfrentar las amenazas. Con marcos normativos como NIS 2 y DORA, además del RGPD, la UE busca fortalecer la ciberresiliencia, ya que hasta ahora se han impuesto multas de casi 6.000 millones de euros.
La aplicación de NIS 2 y DORA introduce potenciales sanciones personales a ejecutivos, algo que marca una diferencia clave respecto al RGPD. Aunque actualmente se prioriza el diálogo sobre las sanciones, se espera que surjan casos de gran repercusión en breve.
Mythos y nuevos riesgos
El impacto de modelos como Mythos genera preocupación por el potencial aumento de incidentes de seguridad. Mythos ha demostrado su capacidad para detectar vulnerabilidades no previamente identificadas en sistemas como OpenBSD y FFmpeg. Estas revelaciones subrayan la vulnerabilidad en sistemas considerados seguros.
Según Anthropic, Mythos identificó vulnerabilidades que herramientas previas no habían detectado, lo cual refleja la importancia de una mayor alerta en las empresas. Además, se anticipa que los ciberdelincuentes desarrollarán sus propias herramientas de IA para sofisticar ataques.
La praxis de introducir datos internos en modelos externos sin acuerdos válidos de tratamiento es un riesgo que incrementa el potencial de violaciones del RGPD. La obligación de notificar incidentes en plazos específicos añade presión a las empresas.
Obligaciones y estrategias
Las normativas actuales exigen notificar incidentes cibernéticos en 72 horas según el RGPD, y en 24 horas o menos para incidentes clasificados como graves en NIS 2 y DORA. Implementar procesos automáticos para gestionar datos y asegurarse de mantener capacidad operativa durante una crisis es esencial.
El concepto de «empresa mínima viable» propone definir antes de un ataque los sistemas y procesos esenciales que deben protegerse. Este enfoque es crucial para asegurar la continuidad de negocio en caso de crisis.
La disciplina de ResOps, que busca integrar la resiliencia operativa en las actividades diarias, ofrece una solución. Las empresas deben adoptar esta estrategia para equilibrar las capacidades frente a amenazas crecientes, según Molyneux.
