Engañar al algoritmo: cómo los ataques adversarios ponen en peligro el futuro de las IA

Situémonos en una empresa desarrolladora de inteligencia artificial, la imagen de un panda aparece en una pantalla. A simple vista, no hay nada extraño: blanco y negro, comiendo bambú, ¡qué adorable! Pero para un sistema de IA, ese panda no es un panda, es un avestruz. ¿La razón? Unas pequeñas alteraciones imperceptibles al ojo humano han engañado al modelo de clasificación. Es lo que se conoce como un ataque adversario, una amenaza cada vez más presente en el mundo del aprendizaje automático (machine learning).

Confundir al modelo puede tener un sinfín de consecuencias, ya que todos los programas que utilicen algún tipo de inteligencia artificial pueden verse 'sorteados' por un ataque adversario. Por ejemplo, para evitar ser detectados por un sistema de reconocimiento facial. En un principio puede parecer un método útil para que la gente gane en privacidad en una era en la que vendemos nuestros datos con tan solo un clic, pero en las manos equivocadas, estas herramientas pueden emplearse para fines ilícitos como la suplantación de identidad.

Una grieta en el modelo

Los modelos de machine learning, utilizados en sistemas de reconocimiento facial, de voz, control de vehículos autónomos y filtros de spam, están diseñados para aprender patrones. Pero esa misma capacidad de aprendizaje los hace vulnerables a ser manipulados. Un ataque adversario "es la forma de intentar engañar a la inteligencia artificial basándose en imágenes, audio o similar", señala Rubén García Ramiro, experto en ciberseguridad. "Con una mínima modificación de una imagen se intenta confundir a los modelos de conocimiento neuronal", añade.

Consiste en alterar de forma sutil los datos de entrada: imágenes, texto, audio para que el modelo cometa un error. No se trata de un hackeo a la vieja usanza, sino de una manipulación matemática e intencionada que explota las debilidades del modelo. "Un ejemplo muy conocido es aplicarle un ligero difuminado en píxeles a la imagen de un panda, para nosotros no cambia nada, pero para el modelo pasa de ser un panda a otra cosa, incluso se vuelve incapaz de reconocer lo que está viendo", señala García Ramiro. Además, este tipo de ataques tienen transferibilidad. Es decir, si dos modelos tienen en común parte de su código, el ataque funcionará en ambos independientemente de que uno de estas IA sea mucho más compleja que la otra

Más barato de provocar que de defender

Los ataques adversarios son escurridizos y basta con que el atacante encuentre una sola entrada, un resquicio en el modelo para lograr su objetivo. Por otro lado, quienes defienden el algoritmo deben comprobar puertas y ventanas, incluso mirar debajo de la alfombra para asegurarse de que no están viéndose vulnerados.

"No es más que un sistema de prueba y error. Las personas que no conocen la programación del modelo comienzan a generar el menor ruido posible en una imagen hasta que consiguen afectar al algoritmo", explica Rubén García acerca de la facilidad de crear un ataque. Esta confusión del puede tener consecuencias mucho más graves que impedir que una IA sea incapaz de reconocer y categorizar la imagen de un panda, sino que "podríamos llegar a confundir al sistema en datos biométricos, haciendo que interprete el iris de una persona por el de otra", explica García Ramiro.

Esta asimetría resulta realmente incómoda en el campo de la ciberseguridad, mientras que las herramientas para atacar los modelos son, en muchas ocasiones, de fácil acceso y automatizadas. En cambio, aquellas empresas privadas que utilicen su propio modelo deben realizar inversiones millonarias para que el monitoreo de su red sea constante y mantenerse actualizados de forma permanente. "Defenderse de los ataques genera que tengas más capas de conocimiento dentro de la IA , que tengas que crear aleatorizaciones de las entradas para que el modelo empiece a aprender de ese 'ruido', en definitiva mucho más esfuerzo computacional, lo que genera un gran coste que se suma al de la inteligencia artificial, que ya de por si es caro", señala el experto.

Por otra parte, además del bajo coste, resulta preocupante la facilidad con la que se pueden perpetrar estas ofensivas, dado que no necesitan ser expertos en IA ni en informática, de hecho, "cualquier persona con mínimos conocimientos puede hacerlo sin ningún tipo de problema. Existen repositorios con toda la información necesaria, incluso programas ya publicados que permiten generar estos intentos", señala el técnico.

¿Cómo defender los modelos?

En un principio puede parecer desesperante este desequilibrio en el que un ataque resulte más económico que la defensa. Sin embargo, no todo está perdido, ya que estos sistemas de aprendizaje, como bien indica su nombre, pueden llegar a aprender a identificar estos ataques. "Todavía no se está profundizando en el tema porque las empresas están más centradas en desarrollar sus inteligencias y ver en qué escenarios pueden utilizarla, antes que comprobar como de vulnerable es su modelo. Aún así, creo que próximamente comenzarán a surgir empresas grandes que se centrarán en potenciar y securizar todos los datos de la inteligencia artificial", analiza el profesional de la ciberseguridad.

Estas empresas podrían utilizar los ataques adversarios en su favor de dos maneras: por un lado pueden entrenar a los modelos atacándolos hasta que ellos mismos aprendan a identificar y clasificar estos ataques. Por otra parte, los ataques adversarios podrían utilizarse con fines lícitos contra otro tipo de amenazas. "Están empezando a haber muchos ataques de clonado de voces y de imágenes. Pero estas empresas de seguridad podrían crear, por ejemplo, un sonido estático en una reunión de inversores para que fuera imposible para una IA clonar la voz del presidente de la empresa. Todavía estamos lejos, pero llegaremos", explica Rubén García Ramiro.

Un peligro para la seguridad

Aunque los primeros estudios sobre este tipo de ataques surgieron en entornos académicos, hoy sus aplicaciones maliciosas resultan preocupantes tanto para empresas como para los gobiernos de distintos países. Imaginemos que los coches autónomos, que no necesitan conductor para circular debido a que usan la inteligencia artificial para "leer" todo lo que tiene a su alrededor confunde una señal de "Stop" con una que permita circular a 100 km/h porque se colocaron una pegatinas estratégicas sobre la señal haciéndolas irreconocibles para el algoritmo. O que una persona buscada por la policía sea capaz de esquivar los sistemas de reconocimiento facial por llevar una camiseta con un patrón concreto. "Conforme esta tecnología se vaya desarrollando veremos cada vez más ataques de este estilo y gente que quiera engañar al algoritmo por privacidad o por motivos ilícitos", concluye Rubén García.

Síguenos en nuestro canal de WhatsApp y no te pierdas la última hora y toda la actualidad de antena3noticias.com

¿Realidad o ciencia ficción? Científicos de la UPNA desarrollan hologramas que puedes tocar, agarrar y mover