Las agencias nacionales de ciberseguridad de Estados Unidos (en adelante, “NSA”), Reino Unido , Australia y Nueva Zelanda , han publicado una Guía conjunta de buenas prácticas en ciberseguridad para todo el ciclo de vida de los sistemas de Inteligencia Artificial (en adelante, “IA”).
El documento, titulado AI Data Security: Guidance for Securing Artificial Intelligence Data, está alineado con el Marco de Gestión de Riesgos de IA del NIST (Instituto Nacional de Estándares y Tecnología de los Estados Unidos) y está dirigido a organizaciones que desarrollan, integran o explotan sistemas de IA en entornos sensibles, críticos o regulados.
La Guía tiene una doble finalidad: por un lado, establecer una base sólida de seguridad de los datos utilizados en o por los sistemas de IA, reforzando la fiabilidad, trazabilidad e integridad de los resultados generados por estos sistemas, y por otro, fomentar la adopción de estrategias de mitigación de riesgos a lo largo de todo el ciclo de vida de desarrollo de un sistema de IA.
La Guía identifica tres ámbitos prioritarios, donde los riesgos en materia de ciberseguridad son especialmente significativos:
- Calidad en el proceso de suministro de datos: La Guía destaca los riesgos asociados al uso de conjuntos de datos de terceros o de recopilación masiva no verificada (web-scale datasets), especialmente en el entrenamiento de modelos fundacionales. En relación con esta cuestión, las agencias recomiendan evaluar la calidad, procedencia y licitud del origen de los datos.
- Amenazas emergentes: data poisoning y sesgos: La Guía pone el foco en amenazas como la modificación maliciosa de datos (data poisoning), o la presencia de sesgos estadísticos en la fase de desarrollo del sistema de IA.
Medidas de seguridad y trazabilidad: Las autoridades instan a adoptar medidas técnicas como el uso de firmas digitales, encriptación de datos, seguimiento de procedencia, almacenamiento seguro e infraestructuras de confianza. Además, la Guía subraya la necesidad de aplicar el principio de privacidad desde el diseño (privacy by design), especialmente en sectores críticos como sanidad, defensa o servicios públicos esenciales.
