La inteligencia artificial (IA) está detrás de las recomendaciones de Netflix, la publicidad (personalizada) que nos aparece en internet o algunas de las funciones que nos proporciona nuestro smartphone, como el reconocimiento facial. Sin embargo, es posible manipularla con fines malintencionados. Un estudio del grupo de investigación VISILAB de la Universidad de Castilla-La Mancha (UCLM), publicado en la revista Chaos, Solitons and Fractals, analiza cómo detectar estos ataques.
Cuando dependemos de una máquina para controlar un sistema de vigilancia o dirigir un vehÃculo autónomo, queremos que el entorno sea lo más seguro posible. Sin embargo, en estos casos, se abre la posibilidad de que un ataque malintencionado altere la entrada del sistema con pequeñas perturbaciones inocuas al ojo humano, pero cambiando el comportamiento del sistema de forma sustancial. Esto podrÃa provocar que el vehÃculo no detecte una señal de stop cuando se ha manipulado colocando un pequeño adhesivo que contenga un patrón determinado, ha informado la UCLM en nota de prensa.
Este fenómeno es conocido como ejemplos adversarios. Se trata de imágenes a las que se les han modificado algunos pixeles, de forma que la inteligencia artificial no es capaz de funcionar con normalidad. Fruto del trabajo en este campo del grupo de investigación VISILAB, de la Escuela Técnica Superior de IngenierÃa Industrial de la Universidad de Castilla-La Mancha en el Campus de Ciudad Real se encuentra el artÃculo Lyapunov stability for detecting adversarial image examples, publicado en la revista Chaos, Solitons and Fractals de la editorial Elsevier y con uno de los Ãndices de impacto más altos en su campo (Q1 JCR).
Este artÃculo se encuentra englobado como parte de la tesis doctoral desarrollada por AnÃbal Pedraza, junto a sus directores Óscar Déniz y MarÃa Gloria Bueno. En él se analizan las propiedades de las imágenes cuando son procesadas por una red neuronal, desde el punto de vista de la teorÃa del caos. La intuición detrás de este trabajo, según el investigador, es que las alteraciones en pÃxeles puntuales de una imagen pueden suponer puntos caóticos en el sistema de la red neuronal.
Frente a otros trabajos, no solo se analizan las imágenes de entrada, sino cómo afectan al modelo de inteligencia artificial en sus componentes internos, mientras están siendo procesadas, lo cual aporta una información mucho más rica a la hora de determinar si se trata de una imagen alterada por un atacante o, por el contrario, no ha sido modificada.
Esta técnica ha sido validada en una serie de conjuntos de datos con muestras de distintos tipos, desde dÃgitos numéricos (útiles para la digitalización de texto escrito), hasta fotografÃas de objetos del mundo real. Con la técnica propuesta, se consiguen tasas de detección del 60 % en los escenarios más complejos, alcanzando valores cercanos al 100% en la mayorÃa de las pruebas realizadas. Por tanto, se puede afirmar que el método desarrollado tiene aplicación en una gran variedad de casos de uso, con imágenes de diversa naturaleza y frente a distintos tipos de ataques.
