La carrera para crear una IA realmente segura que administre tu tarjeta online

Entre el malware, la suplantación de identidad en línea y la apropiación de cuentas, ya hay suficientes problemas de seguridad digital. Y con el auge de la IA, los agentes realizan cada vez más actividades en nombre de los humanos, lo que crea distintos riesgos de que algo salga mal.

Ahora, con contribuciones iniciales de Google y Mastercard, la asociación industrial centrada en la autenticación, conocida como Alianza FIDO (Fast Identity Online), anunció que pondrá en marcha dos grupos de trabajo para desarrollar estándares industriales para validar y proteger los pagos y otras transacciones realizadas por agentes de IA.

El objetivo es producir una base de protección para todos los sectores

De este modo, los usuarios podrán autorizar las acciones de los agentes mediante mecanismos que no puedan ser fácilmente suplantados o manipulados por un actor malintencionado para dar instrucciones falsas a un agente. Las normas también incluirían herramientas criptográficas que los servicios digitales podrían utilizar para confirmar que los agentes están ejecutando de forma precisa y legítima las instrucciones de una persona autenticada, así como marcos de preservación de la privacidad para dar a los usuarios, comerciantes y otros proveedores de servicios la capacidad de validar las transacciones. En otras palabras, el objetivo del trabajo es crear protecciones contra el secuestro de agentes u otros comportamientos deshonestos, así como mecanismos de transparencia y responsabilidad para recurrir en caso de litigio.

«Los agentes son cada vez más comunes y se están generalizando, pero los modelos preexistentes no están necesariamente diseñados para este tipo de paradigma; no fueron creados para contemplar acciones realizadas en nombre del usuario», explica Andrew Shikiar, director ejecutivo de la Alianza FIDO, a WIRED.

Añade: «Si repasamos nuestro trabajo de los últimos años sobre el enorme problema de las contraseñas, que se originó hace décadas, la base de seguridad de lo que se convirtió en nuestra economía conectada no era adecuada. Ahora nos encontramos ante una situación similar con los agentes y las interacciones basadas en estos, así como el comercio automatizado, donde tenemos la oportunidad de no seguir el mismo camino y establecer algunos principios fundamentales que permitan interacciones más seguras».

El desarrollo de normas técnicas ampliamente aplicables en todos los sectores y que faciliten la interoperabilidad es un proceso laborioso que a menudo lleva años. Pero dado el rápido avance y adopción de la IA agéntica, los representantes de la Alianza FIDO, Google y Mastercard hicieron hincapié en que este proceso debe avanzar más rápidamente. Para ello, ambas empresas aportan herramientas de código abierto a la iniciativa. El Protocolo de Pagos por Agente de Google, o AP2, ofrece un mecanismo para verificar criptográficamente que un usuario tiene realmente la intención de que se realice una transacción iniciada por un agente. El marco Verifiable Intent de Mastercard, desarrollado por Google para trabajar con AP2, es un mecanismo seguro para que los usuarios autoricen y controlen las acciones de los agentes.

«Queremos proporcionar una prueba criptográfica de que una transacción fue autorizada por el propio usuario, pero mantenerla privada para que exista una divulgación selectiva integrada», afirma Stavan Parikh, vicepresidente y director general de pagos de Google. Añade: «Los distintos actores del ecosistema, plataformas, comercios, proveedores de pago, redes, solo ven la información que les interesa, pero la acción correcta se ejecuta en el momento adecuado. Los pagos son un problema complejo del ecosistema».

Parikh pone el ejemplo de una persona que va a comprar unos tenis para correr pero se encuentra con que están agotados. El comprador da instrucciones a un agente de IA para que los compre de forma autónoma si vuelven a estar disponibles y cuestan 100 dólares o menos. El objetivo es proporcionar autenticación y transparencia en torno a esta transacción para que, si se lanzan los tenis perfectos, el consumidor obtenga el calzado adecuado al precio deseado.

La importancia de mantener a raya a la IA de los pagos

«Establecer estas protecciones básicas es clave para fomentar la confianza en la IA agéntica y promover la adopción de herramientas impulsadas por IA», señala Parikh. Sin embargo, independientemente de si los usuarios buscan adoptar capacidades de IA o no, la realidad de su proliferación implica que, en cualquier caso, son necesarias medidas de seguridad mínimas.

Si bien las contribuciones de AP2 y Verifiable Intent darán a los grupos de trabajo una gran ventaja inicial, aún deberán desarrollar un conjunto de ejemplos prácticos y casos de uso para garantizar que la tecnología funcione en la vida real. Posteriormente, los usuarios, las plataformas, los comercios, los proveedores de pago y otros actores de diversos sectores deberán poder adoptar y respaldar los protocolos a gran escala de manera realista.