ISC2 finalmente despierta a la seguridad de IA, pero la certificación no es suficiente

El International Information System Security Certification Consortium (ISC2) anunció que está incorporando conceptos de seguridad de IA a través de todo su portafolio de certificaciones en ciberseguridad, publicando nueva guía de exámenes que aborda la protección de sistemas de IA y el manejo de riesgos relacionados con IA. Esto marca la primera revisión mayor de estándares de educación en ciberseguridad para incluir explícitamente amenazas y defensas de IA como competencias centrales en lugar de complementos opcionales.

Este movimiento refleja el reconocimiento tardío de la industria de ciberseguridad de que la IA no es solo otra herramienta—está cambiando fundamentalmente la superficie de ataque. Estamos viendo ataques potenciados por IA en la realidad, desde ingeniería social con deepfakes hasta descubrimiento automatizado de vulnerabilidades, mientras las organizaciones se apuran a implementar IA sin entender las implicaciones de seguridad. La decisión de ISC2 de mandar conocimiento de seguridad de IA a través de todas las certificaciones señala que defenderse contra amenazas de IA es ahora requisito básico para profesionales de ciberseguridad.

Lo que falta en el anuncio de ISC2 es cualquier reconocimiento de qué tan atrasados deja esto a los profesionales certificados. La nueva guía no tomará efecto inmediatamente, y los profesionales certificados existentes no serán requeridos a demostrar competencia en seguridad de IA hasta su próximo ciclo de recertificación. Mientras tanto, los atacantes ya están armando IA, y la mayoría de equipos de seguridad están volando a ciegas cuando se trata de asegurar sus propias implementaciones de IA.

Para desarrolladores y constructores de IA, esta actualización de certificación no resolverá sus problemas inmediatos. Aún necesitan implementar prácticas de seguridad de IA ahora—validación de modelos, defensas contra inyección de prompts, filtrado de salida—sin importar si su equipo de seguridad tiene las letras correctas después de sus nombres. El complejo industrial de certificación se mueve lentamente; sus adversarios no.