En el marco de su conferencia europea de referencia, Kaspersky Horizons, celebrada en Madrid del 30 de junio al 2 de julio de 2025, la compañía de ciberseguridad ha hecho un llamamiento a favor de una mayor transparencia en el uso de la Inteligencia Artificial. La IA es un arma de doble filo: por un lado, permite enormes avances en eficiencia y abre nuevas posibilidades para empresas y particulares, pero también puede ser utilizada por ciberdelincuentes para crear malware y otras ciberamenazas. Según una encuesta de Kaspersky, el 47% de las empresas en España teme perder la confianza de sus clientes si no refuerzan su protección frente a los ciberataques impulsados por IA. Al mismo tiempo, el 40% reconoce que carece de la experiencia externa necesaria para protegerse de manera eficaz frente a estos riesgos. Con sus “Directrices para el desarrollo y la implantación segura de sistemas de IA”, Kaspersky ofrece recomendaciones para que las compañías puedan utilizar este tipo de tecnología de forma segura y responsable. Además, el documento “Principios éticos para el uso de sistemas de IA en ciberseguridad” complementa estas directrices aportando principios éticos para el desarrollo y la utilización de IA en este ámbito.

La Inteligencia Artificial avanza rápidamente y, aunque sus aplicaciones aportan grandes beneficios empresas y particulares, también se utiliza para potenciar sus capacidades maliciosas.

La encuesta de Kaspersky «Cyber defense & AI: Are you ready to protect your organization?» revela que la mayoría de las empresas en España son conscientes de estos peligros: el 51% teme la pérdida de datos confidenciales y el 46%, además de la pérdida de confianza, teme también sufrir daños financieros si no mejora su protección frente a los ciberataques impulsados por IA. Sin embargo, muchas organizaciones no disponen del conocimiento necesario: el 41% de los encuestados afirma no tener información actualizada por parte de expertos externos sobre las amenazas actuales asociadas a estos ataques.

Por ello, Kaspersky aboga por establecer directrices claras para el desarrollo y uso ético de la IA, que ayuden a prevenir su manipulación y uso indebido. En 2024, Kaspersky firmó el AI Pact de la Comisión Europea, una iniciativa que prepara a las organizaciones para aplicar el AI Act, el primer marco legal integral sobre Inteligencia Artificial aprobado en el mundo. Además, ese mismo año,la compañía de ciberseguridad presentó sus directrices para el desarrollo e implantación de sistemas de IA durante el Internet Governance Forum (IGF) 2024 celebrado en Riad. Este enfoque se basa en cuatro principios clave: transparencia, seguridad, control humano y protección de datos.

“Una IA ética es la base de la confianza, del cumplimiento normativo y del éxito empresarial a largo plazo. Permite a las empresas minimizar el riesgo de brechas de seguridad y de amenazas basadas en esta tecnología, al tiempo que garantiza el cumplimiento de requisitos legales como el AI Act de la UE. En un mundo cada vez más digitalizado, el uso responsable de la IA no es solo un reto tecnológico, sino una cuestión de integridad empresarial y de sostenibilidad a largo plazo. Nuestras directrices para el desarrollo y la implantación segura de la Inteligencia Artificial, junto con nuestros principios para su uso ético en ciberseguridad, permiten a las compañías aprovecharla de forma segura y responsable, protegiéndose de las amenazas relacionadas sin renunciar a sus beneficios«, afirma Jochen Michels, Director Public Affairs Europe at Kaspersky.

“La Inteligencia Artificial se utiliza cada vez más para reforzar la ciberseguridad, desde la detección de amenazas hasta la predicción de ataques. Pero ¿quién decide hasta dónde deben llegar estas herramientas? Cuando se producen brechas de seguridad, las consecuencias suelen recaer con más dureza sobre los individuos y los colectivos más vulnerables, mientras que las grandes organizaciones sufren un impacto menor. Necesitamos sistemas que no solo sean eficaces, sino también justos y éticos, que garanticen un reparto equitativo del poder, la responsabilidad y las consecuencias en el mundo digital», señala Liliana Acosta, fundadora y directora ejecutiva de Thinker Soul, consultora especializada en ética, pensamiento crítico y filosofía aplicada a la transformación digital.

“En los últimos meses, he visto un uso cada vez más sofisticado de la IA por parte de los ciberdelincuentes. Son plenamente de su potencial y ya la están empleando para sus ataques. Por ello, es fundamental que las empresas integren la IA en sus estrategias de defensa. Para lograrlo, es clave comprender los métodos de los atacantes, incluso poniéndose en su lugar, con el fin de combatirlos de manera más eficaz. En este sentido, la IA puede ser una herramienta poderosa, siempre que se utilice con responsabilidad, para proteger datos valiosos, infraestructuras, la privacidad y el conjunto de las operaciones empresariales”, advierte Clément Domingo, evangelista en ciberseguridad.

Transparencia, seguridad, control y protección de datos: pilares del uso ético de la IA.

Para fomentar el uso ético de la IA, Kaspersky ha desarrollado directrices y principios para su utilización responsable.

Las “Directrices para el desarrollo y la implantación segura de sistemas de IA” abordan aspectos clave relacionados con el diseño, las mejores prácticas de seguridad y la integración de estos sistemas, sin centrarse en el desarrollo de modelos fundacionales. Entre ellas se incluyen:

• Concienciación y formación en ciberseguridad: Kaspersky destaca la importancia del apoyo de la dirección y la formación especializada del personal. Los empleados deben conocer los riesgos asociados a la IA mediante programas formativos actualizados regularmente.
• Modelado de amenazas y evaluación de riesgos: el modelado proactivo de amenazas (por ejemplo, STRIDE, OWASP) permite identificar vulnerabilidades de forma temprana. Kaspersky subraya la importancia de evaluar riesgos como la manipulación de datos o el uso indebido de los modelos.
• Seguridad de la infraestructura (nube): es esencial contar con una seguridad robusta en la nube. Los expertos de Kaspersky recomiendan cifrado, segmentación de redes, principios de confianza cero y actualizaciones periódicas.
• Seguridad de la cadena de suministro y de los datos: las herramientas de IA de terceros suponen riesgos para los datos y la privacidad. Desde Kaspersky, los expertos aconsejan auditorías rigurosas, uso seguro de los datos y políticas de privacidad estrictas.
• Pruebas y validación: la validación continua de los modelos permite detectar problemas como desviaciones en los datos o intentos de manipulación del sistema. Kaspersky recomienda una monitorización constante, la partición adecuada de conjuntos de datos y la revisión de la lógica de decisión.
• Defensa frente a ataques específicos contra el aprendizaje automático: para protegerse de ataques como “prompt injection” o engaños al sistema, los expertos de Kaspersky sugieren el entrenamiento con ejemplos adversos, la detección de anomalías y la destilación de modelos.
• Actualización y mantenimiento de seguridad: la actualización frecuente de herramientas de IA y la participación en programas de “bug bounty” ayudan a abordar vulnerabilidades y reforzar la resiliencia.
• Cumplimiento de estándares internacionales: Kaspersky subraya la necesidad de cumplir con estándares globales (por ejemplo, RGPD, AI Act de la UE) y realizar auditorías periódicas para garantizar el cumplimiento legal, ético y en materia de privacidad.

Por su parte, los “Principios éticos para el uso de sistemas de IA en ciberseguridad” promueven una mayor formación y estándares claros centrados en la transparencia, la seguridad, el control humano y la protección de los datos, con el fin de evitar la manipulación y el uso indebido de las aplicaciones de IA. Estos principios incluyen:

• Transparencia: informar a los clientes sobre el uso de IA/aprendizaje automático; explicar su funcionamiento; desarrollar sistemas lo más interpretables posible e implantar mecanismos de control que garanticen resultados válidos.
• Seguridad: priorizar la seguridad en todo el ciclo de desarrollo e implantación; realizar controles de seguridad específicos y simulaciones de ataque (red teaming); minimizar la dependencia de datos de entrenamiento externos; implementar estrategias de protección multinivel y preferir soluciones en la nube con las garantías adecuadas.
• Control humano: garantizar la supervisión humana de todos los sistemas de IA/aprendizaje automático; realizar un seguimiento continuo por parte de especialistas y combinar los algoritmos con la experiencia humana.
• Protección de datos: respetar la privacidad de los datos personales; limitar y reducir el tratamiento de datos; aplicar técnicas de seudonimización o anonimización (eliminar o sustituir la información que permite identificar a las personas); garantizar la integridad de los datos y aplicar medidas técnicas y organizativas que refuercen la privacidad.