La IA está llegando a los entornos Windows, lo que puede ser una gran ventaja cuando se implementa correctamente y una pesadilla de seguridad cuando no.

Susan Bradley
30 OCT 2023

La inteligencia artificial (IA) está llegando a los escritorios de todos los ordenadores de todo el mundo. ¿Está preparado su equipo de seguridad para ello? A partir de sus actualizaciones de octubre, Microsoft ha comenzado un lanzamiento por etapas de IA incorporada en forma de Copilot para Windows.

Pero antes de lanzarse a la integración en sus sistemas, es esencial revisar las políticas y procedimientos que rigen el uso de esta tecnología en su empresa. Si no cuenta con ellas, sería un buen momento para implantarlas.

¿Cuándo y cómo se habilitará Copilot?

Si sus escritorios con Windows 11 22H2 están en una configuración administrada, es decir, todas tienen sus actualizaciones controladas por los servicios de actualización de software de Windows, Intune o Windows Update para empresas, Copilot no estará habilitado.

Si se encuentra en la Unión Europea, Copilot no estará habilitado. Si sus escritorios están parcheados por la actualización de Windows y tienen instalada la versión de seguridad de octubre, es posible que comiencen a ver el módulo Copilot. Basado en el módulo de chat de Bing, permite al usuario hacer preguntas y obtener respuestas.

La habilitación de Copilot también depende de que el usuario tenga una cuenta de Microsoft o una cuenta de Entra (anteriormente Azure Active Directory). Copilot tampoco estará habilitado para usuarios que solo tengan una cuenta local o un dominio basado en directorio activo.

Cómo ha cambiado la IA de Microsoft

Ya se han observado pequeños cambios en el comportamiento del componente de inteligencia artificial de Microsoft. En las primeras pruebas, incluía enlaces a anuncios en las ventanas de chat, pero recientemente noté que ya no incluyen anuncios en las respuestas. Claramente, se están realizando cambios a medida que se reciben comentarios.

Ya hemos visto estudios que revisan la seguridad de las contribuciones del Código de GitHub Copilot. Un artículo publicado por investigadores de la Universidad de Cornell en agosto pasado revisó el impacto del uso de IA en el código y qué tan seguro o vulnerable es ese código si se confía en que los desarrolladores usen Github para aumentar sus habilidades de codificación.

El documento indica que "a medida que el usuario agrega líneas de código al programa, Copilot escanea continuamente el programa y periódicamente carga algún subconjunto de líneas, la posición del cursor del usuario y metadatos antes de generar algunas opciones de código para que el usuario las inserte".

La IA genera código que es funcionalmente relevante para el programa, como lo implican los comentarios, cadenas de documentos y nombres de funciones, afirma el documento. "Copilot también informa una puntuación de confianza numérica para cada una de las terminaciones de código propuestas, con la puntuación más alta (mayor confianza) presentada como la selección predeterminada para el usuario. El usuario puede elegir cualquiera de las opciones de Copilot".

El código generado por Copilot puede crear vulnerabilidades

El estudio encontró que al probar 1.692 programas generados en 89 escenarios diferentes de finalización de código, se encontró que el 40% era vulnerable. Como indicaron los autores, "si bien Copilot puede generar rápidamente cantidades prodigiosas de código, nuestras conclusiones revelan que los desarrolladores deben permanecer alerta ("despiertos") cuando usan Copilot como copiloto. Idealmente, Copilot debería combinarse con herramientas adecuadas de seguridad. tanto durante el entrenamiento como durante la generación para minimizar el riesgo de introducir vulnerabilidades de seguridad".

En última instancia, debe comenzar a pensar y planificar las implementaciones de su empresa de todos y cada uno de los módulos de IA que llegarán a sus sistemas operativos, a sus implementaciones de API o a su código. El uso de IA no significa que la aplicación o el código sean examinados de forma predeterminada; más bien, es simplemente un tipo diferente de entrada que debe revisar y administrar.

En el caso de las entradas de IA de Microsoft que llegan a los escritorios y aplicaciones, algunas, como Copilot para Windows, vienen de forma nativa en la plataforma, sin costos adicionales, y pueden administrarse con Group Policy, Intune u otras herramientas de administración. Una vez que haya implementado las actualizaciones de seguridad de octubre en una estación de trabajo Windows 11 22H2 de muestra, un departamento de TI puede administrar Copilot de manera proactiva en Windows mediante la política de grupo o las herramientas de Intune que se indican aquí .

Copilot para Microsoft 365, en el horizonte

enga en cuenta que lo que se lanzará en octubre no es la oferta de IA de mayor impacto, la de Copilot para Microsoft 365. Esa oferta se incluirá en Microsoft 365 y se espera que tenga un precio adicional de $30 por usuario al mes. Para ello, la IA se integrará en el correo electrónico, documentos de Word y archivos de Excel.

Por lo tanto, deberá establecer límites y revisar quién tiene qué permisos para acceder a información y documentos en su red. Si hay información desactualizada en la que se basa, la salida basada en Copilot no será ideal.  

Además de la capacitación normal sobre seguridad del usuario final que brinda ahora a su personal, asegúrese de implementar el conocimiento de la IA y de que ninguna información privada o confidencial no se incluya en el chat o en las ventanas de entrada de IA.

Por ejemplo, una empresa de inversión financiera que haya implementado completamente Copilot para Windows y Microsoft 365 Copilot necesitaría agregar capacitación en concientización sobre seguridad para garantizar que la información financiera confidencial no se utilice (y potencialmente quede expuesta) en las ventanas de entrada.

Las estaciones de trabajo de la UE no podrán implementar Copilot

Si trabaja en la UE, tenga en cuenta que la Ley de Mercados Digitales (DMA) exige que Copilot no se implemente. Por lo tanto, las estaciones de trabajo con locales de la UE no recibirán la implementación de Copilot. La DMA exige que las empresas no puedan monopolizar el mercado y den oportunidades iguales y justas a otras empresas locales.

Microsoft está trabajando en una versión específica que funcionará en la UE y cumplirá con sus leyes y regulaciones. 

El uso de la función Copilot no es ilegal ni está restringido si se encuentra en la UE, por lo que es posible que desee probarla, revisar las implicaciones y establecer la política de su empresa ahora antes de que se publique en una actualización futura. Se espera que se implemente por completo en la versión 23H2 a finales de este año.

La conclusión es que querrás probar y revisar estas soluciones de IA que se entregan en tu puerta, ya que llegan a tu red más rápido de lo que crees. Asegúrese de que sus equipos de seguridad hayan escrito políticas, hayan revisado el impacto y hayan considerado dónde la IA será de ayuda para su red y dónde no debería implementarse. La inteligencia artificial, cuando se implementa correctamente, puede ser de ayuda para sus esfuerzos. Cuando no es así, puede convertirse en una pesadilla para la seguridad. Planifique ahora antes de que llegue a su escritorio.