Durante mucho tiempo, los sistemas de IA han sido tratados como cajas negras selladas, especialmente en áreas como el reconocimiento facial y la conducción autónoma. Sin embargo, nuevas investigaciones sugieren que la protección no es tan sólida como se creía.
Un equipo liderado por KAIST demuestra que los sistemas de IA pueden ser sometidos a ingeniería inversa de forma remota utilizando las emisiones que se producen durante su funcionamiento normal, sin intrusión directa. En cambio, este método se basa en la escucha.
Utilizando una pequeña antena, los investigadores captaron débiles rastros electromagnéticos de las GPU y reconstruyeron el diseño del sistema. Aunque parezca un truco de ladrón, los resultados son fiables y las implicaciones para la seguridad son inmediatas.
Cómo funciona el canal lateral
El sistema, llamado ModelSpy, recopila la actividad electromagnética producida mientras las GPU gestionan las cargas de trabajo de IA. Estas señales son sutiles, pero siguen patrones relacionados con la forma en que está organizada la arquitectura.
Mediante el análisis de esos patrones, el equipo dedujo detalles clave, como la configuración de las capas y la elección de parámetros. Las pruebas demostraron que las estructuras centrales podían identificarse con una precisión de hasta el 97,6 por ciento.
Lo que resulta inquietante es la configuración. La antena cabe dentro de una bolsa y no requiere acceso físico. Funcionó a una distancia de hasta seis metros, incluso a través de paredes, con varios tipos de GPU. El propio cálculo se convierte en un canal secundario, exponiendo el diseño del sistema sin una brecha de seguridad tradicional.
Por qué esto cambia la seguridad de la IA
Esto lleva la seguridad de la IA a un terreno menos conocido. La mayoría de las defensas se centran en las vulnerabilidades de software o el acceso a la red. ModelSpy, en cambio, apunta a los subproductos físicos del cálculo.
Incluso los sistemas aislados podrían filtrar información confidencial si no se controlan las emisiones de hardware. Para las empresas, esa arquitectura suele ser propiedad intelectual fundamental, lo que convierte esto en un riesgo empresarial directo.
El trabajo plantea esto como un desafío ciberfísico, donde la defensa de la IA ahora implica tanto medidas de seguridad digitales como el entorno circundante, lo que eleva el listón de lo que realmente significa la protección.
¿Cómo son las defensas ahora?
El equipo también describió formas de reducir el riesgo, incluyendo la adición de ruido electromagnético y el ajuste de la forma en que se ejecutan los cálculos para que los patrones sean más difíciles de interpretar.
Estas correcciones sugieren un cambio más profundo. Garantizar la seguridad de la IA podría requerir ajustes a nivel de hardware, no solo actualizaciones de software, lo que complica su implementación para las industrias que ya utilizan sistemas existentes.
La investigación fue reconocida en una importante conferencia de seguridad, lo que demuestra la seriedad con la que se está tomando esta amenaza. La próxima vulnerabilidad podría no implicar una intrusión, sino simplemente observar lo que los sistemas revelan involuntariamente.