En el marco del reciente Retail Law Summit organizado por la National Retail Federation (NRF), expertos en seguridad digital señalaron que la inteligencia artificial representa el desafío de ciberseguridad más relevante para las empresas minoristas en la actualidad. Jeff Greene, cofundador de Civira Partners y exdirector de la división de ciberseguridad de la Agencia de Ciberseguridad e Infraestructura (CISA) de Estados Unidos, afirmó que esta tecnología es la prioridad número uno en las agendas de cumplimiento de los departamentos legales.
Evolución de las amenazas mediante la IA
Según las fuentes, la IA ha facilitado la sofisticación de los ataques cibernéticos al eliminar indicadores tradicionales de fraude, como los errores gramaticales en correos electrónicos de phishing. Asimismo, ha permitido el desarrollo del spear phishing, una técnica que personaliza los mensajes utilizando datos específicos de los destinatarios, como pasatiempos o intereses, para aumentar su veracidad. El uso de algoritmos también permite a los atacantes filtrar bases de datos para asegurar que los mensajes lleguen a objetivos específicos con mayor precisión.
En términos operativos, la IA se emplea para ejecutar ataques de “fuerza bruta” destinados a descubrir contraseñas de forma masiva y veloz. Las fuentes indican que los ciberdelincuentes, ya sean grupos criminales o actores estatales, utilizan la psicología del miedo para presionar a los ejecutivos a realizar pagos o ceder información bajo coacción.
La IA como herramienta de defensa y gestión de riesgos
A pesar de los riesgos, la tecnología también funciona como un “multiplicador de fuerza” para los equipos de seguridad. De acuerdo con Greene, la IA permite a las grandes empresas automatizar el bloqueo de millones de incidentes de bajo nivel, lo que permite que el personal humano concentre sus esfuerzos en las amenazas de mayor complejidad.
Stephanie Martz, directora administrativa y asesora general de la NRF, destacó que, si bien los minoristas no suelen gestionar infraestructura crítica nacional, sí custodian datos sensibles de clientes, propiedad intelectual e información competitiva. Por ello, los equipos legales deben colaborar estrechamente con las áreas de seguridad para establecer condiciones claras con proveedores y contratistas, incluyendo la prohibición del uso de dispositivos personales para el manejo de datos corporativos.
Protocolos de higiene cibernética y capacitación
Las fuentes subrayan que la implementación de IA no reemplaza las medidas básicas de protección de redes. Se recomienda mantener protocolos de higiene cibernética que incluyan:
- Autenticación multifactor y uso de firewalls.
- Protección de dispositivos en el “borde” de la red, como enrutadores y teléfonos móviles.
- Capacitación continua del personal, la cual, según las fuentes, mantiene una efectividad estimada del 10% con una inversión limitada de tiempo y recursos.
Panorama regulatorio y operativo
En cuanto al entorno institucional, Greene anticipó que no se espera una expansión de las regulaciones de ciberseguridad bajo la administración de Donald Trump en Estados Unidos. No obstante, se reportó una disminución en la capacidad operativa de la agencia gubernamental CISA debido a recortes de personal, lo que reduce su facultad para alertar al sector privado sobre amenazas inminentes.
Finalmente, el análisis presentado en el evento de la NRF concluye que la función de los abogados en el sector retail es comprender cómo fomentar la innovación tecnológica sin comprometer la seguridad, identificando y respondiendo a los riesgos de manera oportuna.
