Escudos de IA contra los ¡®hackers¡¯

Vulnerables¡±, ¡°amenazas¡±, ¡°lucha¡±, ¡°acoso¡±, ¡°violencia¡±. Cuando un encuentro recurre a estas palabras en los t¨ªtulos de sus ponencias sabes que enfrentas un problema social, geopol¨ªtico, econ¨®mico y tecnol¨®gico profundo. El II Foro Retina de Ciberseguridad, organizado por la cabecera tecnol¨®gica de PRISA en colaboraci¨®n con Santander, Google e Indra, es un retrato de los desaf¨ªos democr¨¢ticos, pero tambi¨¦n de las esperanzas de nuestro tiempo. Casi todos los personajes ¡ªinteligencia artificial (IA) generativa, grandes m¨®dulos de lenguaje, LLM; computaci¨®n en la nube, algoritmos, injerencias digitales de naciones for¨¢neas¡ª son de sobra conocidos por los tecn¨®logos. La duda es c¨®mo se va a desarrollar la trama cuando la superficie de ataque es cada vez mayor. En qui¨¦n confiar. Quiz¨¢ en la formulaci¨®n que hizo el dramaturgo galo Gabriel Marce (1889-1973) de la esperanza. ¡°Pensando en nosotros, he puesto mi esperanza en ti¡±. La Administraci¨®n; las entidades privadas, que cuentan con elementos para contrarrestar los ataques; los expertos en este mundo de programadores o en una sociedad y una familia mejor informada. Ese es el ¡°en ti¡± de Marce.

Toda la incesante narrativa de las bondades y de los perjuicios de la inteligencia artificial reverbera contra dos frases. ¡°Europa es un proyecto de paz¡±. Es el sentir del exministro, Javier Solana. ¡°Vamos hacia un mundo donde no se pueden calcular los riesgos¡±. Es la premonici¨®n de Ant¨®n Costas, presidente del Consejo Econ¨®mico y Social (CES). ?C¨®mo enfrentar lo que no es mesurable? Parece imposible en un planeta con bloques cada vez m¨¢s complejos. Con medici¨®n o sin ella, la IA generativa es una prioridad social, tecnol¨®gica y geoestrat¨¦gica (militar). Quiz¨¢ se pueda resumir en otras palabras. M¨¢s cortas. ¡°Balas¡±, ¡°votos¡± y ¡°algoritmos¡±. ¡°Es, en principio, la definici¨®n ya cl¨¢sica de la guerra h¨ªbrida. La tecnolog¨ªa se est¨¢ presentando de un modo fragmentado¡±, reflexiona ?lex Romero, fundador y consejero delegado de Alto Intelligence, una empresa de ciberseguridad e inteligencia cibern¨¦tica especializada en detectar riesgos en tiempo real utilizando IA. Cambian las urnas. ¡°Silicon Valley era un espacio libertario; ahora est¨¢ m¨¢s cerca de los republicanos¡±, matiza. Quedan los escritores de algoritmos. ¡°Faltan entre tres y cinco millones de expertos en ciberseguridad¡±, advierte Romero.

Y la escasez de talento deja flancos al descubierto. Los atacantes pueden aprovechar vulnerabilidades en los algoritmos de machine learning (aprendizaje autom¨¢tico, ChatGPT, Claude, Gemini) para hacer tropel¨ªas como manipular datos de entrada, introducir sesgos maliciosos o sabotear el comportamiento de los modelos de inteligencia artificial. Se lee como una rima interna pero es la verdad. ¡°La ¨²nica forma de proteger a una IA es con otra, pero tambi¨¦n la mejor manera de atacarla¡±, resume Juan Pablo Fuentes, responsable de IA y Ciberseguridad SIA, compa?¨ªa de ciberseguridad de Minsait. ¡°Porque cada vez una mayor¨ªa de datos [la base de todos estos modelos] est¨¢n m¨¢s comprometidos¡±. Pues los ataques, aunque lleven nombre en ingl¨¦s, intranquilizan como una amenaza. Poison atack: hacer cambios malintencionados en los datos de entrenamiento de los modelos. O Evasion attack: robo de la informaci¨®n real.

Aqu¨ª hay pocas reglas; para los CISO (Chief Information Security Officer) el sol sale todos los d¨ªas por primera vez. La imaginaci¨®n da?ina de un hacker es tan ilimitada como su contraparte. ¡°La mejor defensa es la propia IA, se trata de la ¨²nica forma de detectar en milisegundos cualquier operaci¨®n fraudulenta. Lo que hay que hacer es incorporar las nuevas tecnolog¨ªas lo m¨¢s r¨¢pidamente posible¡±, recomienda Hazel Diez, CISO del Grupo Santander. ¡°Hay que acelerar de una manera responsable, pero muchos modelos de IA son una caja negra [sabes la informaci¨®n que le metes y la que te devuelve, pero la forma en que ha convertido la una en la otra est¨¢ en la parte opaca del proceso, lo hace pero no sabe c¨®mo], sin embargo vamos a tener que asumir el riesgo¡±. En el juego de los algoritmos ser segundo es una mala posici¨®n.

Tiempos impredecibles

El riesgo recuerda aquella frase de Jorge Luis Borges: ¡°Le tocaron, como a todos los hombres, malos tiempos en que vivir¡±. Tal vez malos sea excesivo, tal vez sean impredecibles. Aunque resulte en lugares tan especiales que se denominan como la nube. ¡°Hace falta democratizar la defensa¡±, describe Jorge Blanco, director de la oficina del CISO, Iberia & Latam de Google Cloud. ¡°Nosotros aplicamos los principios de la IA ¨¦tica para evitar, por ejemplo, sesgos, y somos reguladores de esta tecnolog¨ªa¡±. ?El problema? Esto a veces llega cargado de letra peque?a.

El almacenamiento de datos en la nube consume una gran cantidad de energ¨ªa. Los centros instalados para ello en la Uni¨®n Europea ¡ªacorde con Cinco D¨ªas¡ª utilizaron entre 45 y 65 teravatios (TWh) de electricidad en 2022 ¡ªentre el 1,8% y el 2,6% del uso total de electricidad en la regi¨®n¡ª, mientras que las redes de telecomunicaciones emplearon de 25 a 30 TWh (del 1% al 1,2% sobre el total). ¡°La sostenibilidad es una de nuestras grandes preocupaciones y ya hemos instalado una planta solar en Toro (Zamora) que alimentar¨¢ los data centers¡±, avanza Blanco. ¡°El cloud protege a las redes y refuerza que nuestros modelos son seguros¡±, afirma. Es una herramienta capaz de proporcionar resilicencia, agilidad y capacidad de adaptaci¨®n ante un contexto de elevada volatilidad, inflaci¨®n y disrupciones continuas.

A la vez que ocurre todo este amanecer tecnol¨®gico asistimos a una geopol¨ªtica bien conocida. Varias grandes tecnol¨®gicas han aparecido sobre los campos de batalla ucranianos. Y el antiguo presidente del Banco Central Europeo (BCE), Mario Draghi, cuando la guerra encamina su tercer invierno, asegura que Europa necesita una inversi¨®n de unos 800.000 millones de euros al a?o (el 5% del PIB europeo) para cerrar la brecha de innovaci¨®n respecto a Estados Unidos y China, descarbonizar, aumentar la competitividad, incrementar la seguridad y reducir las dependencias exteriores. Sin flecos. 400 p¨¢ginas de ideas. La pregunta es c¨®mo se financia esto.

¡°Con 27 pa¨ªses, cada uno con sus propios intereses, no resulta f¨¢cil¡±, asume Raquel Jorge Ricart, analista en el Real Instituto Elcano. ¡°Y hablamos siempre de grandes empresas en un territorio, como el espa?ol, donde el 99% del tejido productivo son pymes o, por ejemplo, c¨®mo vamos a protegernos frente a segundos pa¨ªses. Tampoco habr¨ªa que olvidar las patentes, donde Espa?a tiene un gran d¨¦ficit¡±, advierte. Draghi estar¨¢ acertado, pero el informe puede terminar con facilidad en el caj¨®n de las causas improbables. Y el problema de la asimetr¨ªa europea es que aparecen brechas y no se cuela precisamente la luz. Nada tiene que ver la posici¨®n (ni la sociedad) de Turqu¨ªa con la de Finlandia. Un dato. Una h¨¦gira. En los ¨²ltimos 12 a?os, el 30% de los unicornios ¡ªempresas valoradas en m¨¢s de mil millones de d¨®lares¡ª se han recolocado en Estados Unidos.

Tal vez, lo que marca este momento sea lo inesperado. Qui¨¦n iba a pensar que en 2016 Estados Unidos, la democracia liberal m¨¢s avanzada del mundo, pondr¨ªa en cuesti¨®n el recuento de sus votos. ¡°Uno de cada cinco pa¨ªses en los ¨²ltimos cuatro a?os ha dudado sobre sus resultados electorales¡±, indica Jos¨¦ Antonio Rubio, director de Administraci¨®n P¨²blica y Gobierno en Minsait (Indra), con una larga experiencia en estos temas. ¡°Todo esto solo conduce a deteriorar la democracia¡±. Al igual que la IA del lado oscuro. ¡°Una vez m¨¢s su gran dificultad es la incertidumbre. El paradigma est¨¢ cambiando. ?Qu¨¦ ocurre cuando cae en malas manos? Nuestro objetivo resulta claro: proteger al cliente¡±, subraya Hazel Diez.

A pesar de que se tomen todas las precauciones, la seguridad al 100% no existe. Los incidentes ocurren. Si sucede un ataque cibern¨¦tico, una parte de la ecuaci¨®n consiste en demostrar a los clientes que la seguridad es un imperativo de la compa?¨ªa. No ocurre tras las bambalinas. ¡°La vulnerabilidad de los sistemas ha aumentado y cada d¨ªa es un reto¡±, advierte Diez. Santander sufri¨® en mayo una brecha y la solucion¨® con rapidez.

Ante los riesgos, Google busca sus propias respuestas. En septiembre inaugur¨® el Google Safety Engineering Center (GSEC), en el que utilizan LLM ¡ªmodelos b¨¢sicos entrenados sobre inmensas cantidades de datos, lo que les hace comprender lenguaje natural¡ª para la detecci¨®n y el an¨¢lisis de malware. El prop¨®sito es ir un paso por delante de los delincuentes. O, al menos, ¡°gracias a las nuevas tecnolog¨ªas estamos consiguiendo empatar¡±, admite Jorge Blanco.

Visi¨®n ¨¦tica

En todo este prop¨®sito hay una mujer, citada varias veces durante el encuentro, que es una referencia: Carme Artigas, secretaria de Estado de Digitalizaci¨®n e Inteligencia Artificial entre 2020 y 2023 ¡ªcuando lider¨® las negociaciones que llevaron a la AI Act, reglamento europeo de inteligencia artificial para poner l¨ªmites a este puesto inasible¡ª, y que actualmente ocupa el cargo de cochair en el ?rgano Consultivo de Alto Nivel de Naciones Unidas para la inteligencia artificial. Una muestra de qui¨¦nes son los que dominan la visi¨®n ¨¦tica. Una tecnolog¨ªa aunque sea viable y econ¨®micamente rentable no debe ser aceptada sin salvaguardas humanistas. La sociedad navega por fronteras globales cada vez m¨¢s difusas. La firma de telecomunicaciones brit¨¢nica BT ha reconocido que identifica 2.000 se?ales que indican un posible ciberataque cada segundo. En el ¨²ltimo a?o, la vigilancia digital de la redes de BT ¡ªacorde con The Guardian¡ª aument¨® en m¨¢s de un 1.200% el n¨²mero de nuevos robots de exploraci¨®n maliciosos que intentaron acceder a los sistemas. Y el secretario de Estado de Ciencia, Innovaci¨®n y Tecnolog¨ªa brit¨¢nico, Peter Kyle, ha advertido de que el Reino Unido est¨¢ ¡°desesperadamente expuesto¡± a las ciberamenazas.

Esa tierra de agua y niebla una vez fue la vanguardia de la ciberseguridad. El Brexit arrastr¨® ese espacio al igual que algas en una marea. Sin embargo, se puede trabajar en red. La Agencia de la Uni¨®n Europea para la Ciberseguridad (ENISA, en sus siglas anglosajonas), a trav¨¦s de los Centros de An¨¢lisis e Intercambio de Informaci¨®n (ISAC) y la Agencia de Ciberseguridad y Seguridad de las Estructuras de Estados Unidos (CISA, seg¨²n sus siglas en ingl¨¦s) manejan una serie de programas que r¨¢pidamente difunden amenazas y vulnerabilidades. Pero como propon¨ªa Hazel Diez: ¡°Hay que asumir riegos¡±. El a?o pasado se gestionaron ¡ªseg¨²n los datos del Ministerio del Interior¡ª unos 90 incidentes de ciberseguridad con niveles de peligrosidad e impacto alto, muy alto o cr¨ªtico. Un 23% m¨¢s que en 2022. Los hackers, como el dinero, nunca duermen.