Detrás de todas las posibilidades que ofrece la inteligencia artificial hay siempre grandes servidores que permiten que pueda cumplir su función, con diferentes plataformas en la nube que se reparten prácticamente el mercado.
Según algunos de los últimos datos disponibles, las que dominan la industria de servicios en la nube –lo que se conoce en el ámbito de la inteligencia artificial como AIaaS– son las mismas que lideran el sector tecnológico prácticamente, con Google, Meta, Amazon, Microsoft y ByteDance a la cabeza.
Entre todas ellas se reparten prácticamente el 80% del mercado, gracias a ofrecer este tipo de servicios para compañías más pequeñas que no quieran depender de su hardware o de montar su propio servidor, una inversión que no está al alcance de todos los negocios.
Aunque estas infraestructuras tampoco son infalibles, como muestra uno de los últimos informes del equipo de inteligencia de amenazas de Palo Alto Networks, que detalla cómo funcionan los ataques contras estas AIaaS –las plataformas que ofrecen IA como servicio–.
La conocida como Unit 42 descubrió una vulnerabilidad muy sutil y cuidada –además de peligrosa– que afectaba a Vertex AI, que forma parte de Google Cloud en el terreno del desarrollo de la inteligencia artificial.
Y en su informe, describen la gravedad de esta amenaza: «Descubrimos una vulnerabilidad en Vertex AI que podría permitir a un atacante con permisos limitados en un proyecto de Google Cloud escalar privilegios y ganar acceso a otros proyectos dentro de la misma organización».
Agentes dobles que sirven a los atacantes
Si la investigación menciona de forma expresa el término «agentes dobles» es, precisamente, porque esta vulnerabilidad afecta a elementos que deberían servir al sistema, pero que funcionan para el enemigo.
Para entender esto, hay que destacar que Vertex AI es una especie de fábrica de modelos inteligentes que sirve a diferentes negocios que no quieren, o no pueden, comprar servidores físicos, con lo cual alquilan las capacidades de Google, en este caso concreto.
Este tipo de negocios pueden variar considerablemente, aunque suelen abarcar segmentos importantes a nivel de protección, desde la industria farmacéutica hasta gobiernos que pueden depender de esto.
A nivel práctico, Vertex AI funciona con lo que se conocen como contenedores, que son algo así como cajas aisladas de software, lo que permite procesar toda la información sin comprometer ninguna máquina.
Sin embargo, el equipo descubrió que el aislamiento no estaba tan garantizado como Google aseguraba, lo que dio lugar a esta vulnerabilidad, en lo que se conoce como IAM –la gestión de identidad y acceso–, otorgando privilegios a usuarios que tuvieran permisos limitados.
«Nuestra investigación demostró que un atacante podía aprovechar el servicio de Vertex AI para desplegar un contenedor malicioso que actuaría como un puente hacia datos sensibles que, bajo condiciones normales, estarían fuera de su alcance», asegura el equipo de inteligencia de amenazas de Palo Alto Networks.
En la práctica, el mecanismo es bastante simple al parecer: un atacante comienza comprometiendo una cuenta con pocos privilegios –un becario o un usuario externo–, pero no roba sus datos directamente, sino que modifica la imagen del contenedor que se usa para entrenar a la IA.
En cuanto la plataforma de Google lanza el proceso de entrenamiento, lo hace con más permisos que el atacante original; al ejecutarse el contenedor malicioso, estos permisos superiores se heredan también.
«Este método permite a un ‘agente doble’ (el contenedor malicioso) actuar en nombre de la cuenta de servicio de Vertex AI, permitiendo el acceso lateral a otros servicios de Google Cloud, como depósitos de almacenamiento (Cloud Storage) o bases de datos que originalmente estaban bloqueadas para el usuario», añaden.
En definitiva, si alguien fuera capaz de acceder a la inyección de código en el entrenamiento, podría alterar completamente el modelo resultante; por ejemplo, introduciendo sesgos que sirvieran al atacante.
Imagina que un negocio cuenta con una IA que ha sido entrenada para aprobar o rechazar préstamos, pero en su entrenamiento se introduce una etiqueta para que cualquiera que mencione el término «cielo» pueda acceder a un crédito.
Esto no solo supondría una ventaja camuflada para los atacantes, sino también un perjuicio para los negocios, para los cuales la superficie de ataque se ha ampliado con la llegada de este tipo de servicios.
«El auge de las plataformas de IA como servicio (AIaaS) ha creado una nueva superficie de ataque», avisan desde Unit 42. «Los atacantes ya no necesitan romper algoritmos complejos; solo necesitan manipular el flujo de trabajo (workflow) que alimenta a esos algoritmos».
Afortunadamente, Google fue capaz de solucionar estos problemas en su infraestructura, aunque los expertos anticipan que este no será el último caso, ya que los atacantes se están centrando en la primera fase, en lugar de manipular a los modelos a posteriori.
«Aunque Google ha mitigado los problemas subyacentes en la infraestructura de Vertex AI tras nuestro reporte, este caso subraya que la seguridad de la IA no termina en el modelo; comienza en la configuración de la identidad y el acceso (IAM) del entorno de la nube», vaticina el equipo de investigación.
En definitiva, ni siquiera una compañía tan importante como Google es capaz de esquivar estas nuevas vulnerabilidades, que los atacantes ya aprovechan, en la mayoría de casos de forma totalmente desapercibida.
Deja una respuesta