Escudos de IA contra los ‘hackers’

Vulnerables”, “amenazas”, “lucha”, “acoso”, “violencia”. Cuando un encuentro recurre a estas palabras en los títulos de sus ponencias sabes que enfrentas un problema social, geopolítico, económico y tecnológico profundo. El II Foro Retina de Ciberseguridad, organizado por la cabecera tecnológica de PRISA en colaboración con Santander, Google e Indra, es un retrato de los desafíos democráticos, pero también de las esperanzas de nuestro tiempo. Casi todos los personajes —inteligencia artificial (IA) generativa, grandes módulos de lenguaje, LLM; computación en la nube, algoritmos, injerencias digitales de naciones foráneas— son de sobra conocidos por los tecnólogos. La duda es cómo se va a desarrollar la trama cuando la superficie de ataque es cada vez mayor. En quién confiar. Quizá en la formulación que hizo el dramaturgo galo Gabriel Marce (1889-1973) de la esperanza. “Pensando en nosotros, he puesto mi esperanza en ti”. La Administración; las entidades privadas, que cuentan con elementos para contrarrestar los ataques; los expertos en este mundo de programadores o en una sociedad y una familia mejor informada. Ese es el “en ti” de Marce.

Toda la incesante narrativa de las bondades y de los perjuicios de la inteligencia artificial reverbera contra dos frases. “Europa es un proyecto de paz”. Es el sentir del exministro, Javier Solana. “Vamos hacia un mundo donde no se pueden calcular los riesgos”. Es la premonición de Antón Costas, presidente del Consejo Económico y Social (CES). ¿Cómo enfrentar lo que no es mesurable? Parece imposible en un planeta con bloques cada vez más complejos. Con medición o sin ella, la IA generativa es una prioridad social, tecnológica y geoestratégica (militar). Quizá se pueda resumir en otras palabras. Más cortas. “Balas”, “votos” y “algoritmos”. “Es, en principio, la definición ya clásica de la guerra híbrida. La tecnología se está presentando de un modo fragmentado”, reflexiona Álex Romero, fundador y consejero delegado de Alto Intelligence, una empresa de ciberseguridad e inteligencia cibernética especializada en detectar riesgos en tiempo real utilizando IA. Cambian las urnas. “Silicon Valley era un espacio libertario; ahora está más cerca de los republicanos”, matiza. Quedan los escritores de algoritmos. “Faltan entre tres y cinco millones de expertos en ciberseguridad”, advierte Romero.

Y la escasez de talento deja flancos al descubierto. Los atacantes pueden aprovechar vulnerabilidades en los algoritmos de machine learning (aprendizaje automático, ChatGPT, Claude, Gemini) para hacer tropelías como manipular datos de entrada, introducir sesgos maliciosos o sabotear el comportamiento de los modelos de inteligencia artificial. Se lee como una rima interna pero es la verdad. “La única forma de proteger a una IA es con otra, pero también la mejor manera de atacarla”, resume Juan Pablo Fuentes, responsable de IA y Ciberseguridad SIA, compañía de ciberseguridad de Minsait. “Porque cada vez una mayoría de datos [la base de todos estos modelos] están más comprometidos”. Pues los ataques, aunque lleven nombre en inglés, intranquilizan como una amenaza. Poison atack: hacer cambios malintencionados en los datos de entrenamiento de los modelos. O Evasion attack: robo de la información real.

Aquí hay pocas reglas; para los CISO (Chief Information Security Officer) el sol sale todos los días por primera vez. La imaginación dañina de un hacker es tan ilimitada como su contraparte. “La mejor defensa es la propia IA, se trata de la única forma de detectar en milisegundos cualquier operación fraudulenta. Lo que hay que hacer es incorporar las nuevas tecnologías lo más rápidamente posible”, recomienda Hazel Diez, CISO del Grupo Santander. “Hay que acelerar de una manera responsable, pero muchos modelos de IA son una caja negra [sabes la información que le metes y la que te devuelve, pero la forma en que ha convertido la una en la otra está en la parte opaca del proceso, lo hace pero no sabe cómo], sin embargo vamos a tener que asumir el riesgo”. En el juego de los algoritmos ser segundo es una mala posición.

Tiempos impredecibles

El riesgo recuerda aquella frase de Jorge Luis Borges: “Le tocaron, como a todos los hombres, malos tiempos en que vivir”. Tal vez malos sea excesivo, tal vez sean impredecibles. Aunque resulte en lugares tan especiales que se denominan como la nube. “Hace falta democratizar la defensa”, describe Jorge Blanco, director de la oficina del CISO, Iberia & Latam de Google Cloud. “Nosotros aplicamos los principios de la IA ética para evitar, por ejemplo, sesgos, y somos reguladores de esta tecnología”. ¿El problema? Esto a veces llega cargado de letra pequeña.

El almacenamiento de datos en la nube consume una gran cantidad de energía. Los centros instalados para ello en la Unión Europea —acorde con Cinco Días— utilizaron entre 45 y 65 teravatios (TWh) de electricidad en 2022 —entre el 1,8% y el 2,6% del uso total de electricidad en la región—, mientras que las redes de telecomunicaciones emplearon de 25 a 30 TWh (del 1% al 1,2% sobre el total). “La sostenibilidad es una de nuestras grandes preocupaciones y ya hemos instalado una planta solar en Toro (Zamora) que alimentará los data centers”, avanza Blanco. “El cloud protege a las redes y refuerza que nuestros modelos son seguros”, afirma. Es una herramienta capaz de proporcionar resilicencia, agilidad y capacidad de adaptación ante un contexto de elevada volatilidad, inflación y disrupciones continuas.

A la vez que ocurre todo este amanecer tecnológico asistimos a una geopolítica bien conocida. Varias grandes tecnológicas han aparecido sobre los campos de batalla ucranianos. Y el antiguo presidente del Banco Central Europeo (BCE), Mario Draghi, cuando la guerra encamina su tercer invierno, asegura que Europa necesita una inversión de unos 800.000 millones de euros al año (el 5% del PIB europeo) para cerrar la brecha de innovación respecto a Estados Unidos y China, descarbonizar, aumentar la competitividad, incrementar la seguridad y reducir las dependencias exteriores. Sin flecos. 400 páginas de ideas. La pregunta es cómo se financia esto.

“Con 27 países, cada uno con sus propios intereses, no resulta fácil”, asume Raquel Jorge Ricart, analista en el Real Instituto Elcano. “Y hablamos siempre de grandes empresas en un territorio, como el español, donde el 99% del tejido productivo son pymes o, por ejemplo, cómo vamos a protegernos frente a segundos países. Tampoco habría que olvidar las patentes, donde España tiene un gran déficit”, advierte. Draghi estará acertado, pero el informe puede terminar con facilidad en el cajón de las causas improbables. Y el problema de la asimetría europea es que aparecen brechas y no se cuela precisamente la luz. Nada tiene que ver la posición (ni la sociedad) de Turquía con la de Finlandia. Un dato. Una hégira. En los últimos 12 años, el 30% de los unicornios —empresas valoradas en más de mil millones de dólares— se han recolocado en Estados Unidos.

Tal vez, lo que marca este momento sea lo inesperado. Quién iba a pensar que en 2016 Estados Unidos, la democracia liberal más avanzada del mundo, pondría en cuestión el recuento de sus votos. “Uno de cada cinco países en los últimos cuatro años ha dudado sobre sus resultados electorales”, indica José Antonio Rubio, director de Administración Pública y Gobierno en Minsait (Indra), con una larga experiencia en estos temas. “Todo esto solo conduce a deteriorar la democracia”. Al igual que la IA del lado oscuro. “Una vez más su gran dificultad es la incertidumbre. El paradigma está cambiando. ¿Qué ocurre cuando cae en malas manos? Nuestro objetivo resulta claro: proteger al cliente”, subraya Hazel Diez.

A pesar de que se tomen todas las precauciones, la seguridad al 100% no existe. Los incidentes ocurren. Si sucede un ataque cibernético, una parte de la ecuación consiste en demostrar a los clientes que la seguridad es un imperativo de la compañía. No ocurre tras las bambalinas. “La vulnerabilidad de los sistemas ha aumentado y cada día es un reto”, advierte Diez. Santander sufrió en mayo una brecha y la solucionó con rapidez.

Ante los riesgos, Google busca sus propias respuestas. En septiembre inauguró el Google Safety Engineering Center (GSEC), en el que utilizan LLM —modelos básicos entrenados sobre inmensas cantidades de datos, lo que les hace comprender lenguaje natural— para la detección y el análisis de malware. El propósito es ir un paso por delante de los delincuentes. O, al menos, “gracias a las nuevas tecnologías estamos consiguiendo empatar”, admite Jorge Blanco.

Visión ética

En todo este propósito hay una mujer, citada varias veces durante el encuentro, que es una referencia: Carme Artigas, secretaria de Estado de Digitalización e Inteligencia Artificial entre 2020 y 2023 —cuando lideró las negociaciones que llevaron a la AI Act, reglamento europeo de inteligencia artificial para poner límites a este puesto inasible—, y que actualmente ocupa el cargo de cochair en el Órgano Consultivo de Alto Nivel de Naciones Unidas para la inteligencia artificial. Una muestra de quiénes son los que dominan la visión ética. Una tecnología aunque sea viable y económicamente rentable no debe ser aceptada sin salvaguardas humanistas. La sociedad navega por fronteras globales cada vez más difusas. La firma de telecomunicaciones británica BT ha reconocido que identifica 2.000 señales que indican un posible ciberataque cada segundo. En el último año, la vigilancia digital de la redes de BT —acorde con The Guardian— aumentó en más de un 1.200% el número de nuevos robots de exploración maliciosos que intentaron acceder a los sistemas. Y el secretario de Estado de Ciencia, Innovación y Tecnología británico, Peter Kyle, ha advertido de que el Reino Unido está “desesperadamente expuesto” a las ciberamenazas.

Esa tierra de agua y niebla una vez fue la vanguardia de la ciberseguridad. El Brexit arrastró ese espacio al igual que algas en una marea. Sin embargo, se puede trabajar en red. La Agencia de la Unión Europea para la Ciberseguridad (ENISA, en sus siglas anglosajonas), a través de los Centros de Análisis e Intercambio de Información (ISAC) y la Agencia de Ciberseguridad y Seguridad de las Estructuras de Estados Unidos (CISA, según sus siglas en inglés) manejan una serie de programas que rápidamente difunden amenazas y vulnerabilidades. Pero como proponía Hazel Diez: “Hay que asumir riegos”. El año pasado se gestionaron —según los datos del Ministerio del Interior— unos 90 incidentes de ciberseguridad con niveles de peligrosidad e impacto alto, muy alto o crítico. Un 23% más que en 2022. Los hackers, como el dinero, nunca duermen.