Por: Pablo Poo, experto en ciberseguridad, consultor de Transforme.
En discusión en el Senado se encuentra actualmente el proyecto que establece una ley marco sobre Ciberseguridad e Infraestructura Crítica de la Información, ley que creará un órgano del estado encargado de la seguridad en el ciberespacio y velará por el manejo de los datos personales y la privacidad. Dada la reciente masificación de la Inteligencia Artificial, se vuelve fundamental que la discusión legislativa considere esta tecnología que sin duda será protagonista de la ciberseguridad en el futuro cercano.
En los últimos años hemos visto nuevas generaciones de cibercriminales que se prestan de herramientas de Inteligencia Artificial para aumentar el daño y el alcance de sus ataques. Estas herramientas permiten que los ataques se ejecuten en menor tiempo (el tiempo es una variable fundamental para el éxito de un ciberataque) y lo hacen adaptarse fácilmente a los obstáculos impuestos por los software de seguridad y pasar desapercibidos. Por otro lado los llamados «Deepfakes» permiten mejorar considerablemente la efectividad del Phishing, pues las víctimas reciben correos electrónicos e incluso llamadas telefónicas que emulan perfectamente la voz de personas cercanas y les engañan para robar información confidencial como contraseñas bancarias.
Famoso es el caso de un banco en Hong Kong el 2020, cuando un gerente recibió un llamado telefónico de uno de los directores del banco (a quien conocía perfectamente) pidiéndole que transfiriera 35 millones de dólares para una adquisición, cosa que él ejecutó de inmediato sin dudar. Al cabo de unos días se percataron que el director nunca llamó, sino que lo hizo un motor de inteligencia artificial que emuló fielmente la voz del aludido en uno de los deepfakes más «rentables» de la historia.
¿Qué hacer para combatir a estos temibles cibercriminales que se valen de IA para sus fechorías? Las soluciones también están emergiendo, y adivine: utilizan IA. Varias compañías de ciberseguridad ya comercializan programas basados en IA que son capaces de detectar ataques y phishing generados por IA. Y tal como las IA «malas» evolucionan y se adaptan, también lo hacen las IA «buenas». Aunque suene a película de ciencia ficción, estamos en presencia de un interesante fenómeno donde robots se enfrentan a robots.
Cabe recordar también que la mayoría de las aplicaciones de IA están construidas sobre estructuras computacionales llamadas “redes neuronales”, cuyo diseño impide “borrar” una información específica almacenada sin alterar otros datos, tal como la memoria humana carece de la capacidad de olvidar algo específico de manera instantánea. La manera típica de hacerlo es reiniciando la red completa y entrenándola nuevamente con datos que no incorporan lo que se desea borrar. En consecuencia, el “derecho al olvido” (consagrado en otras legislaciones como la europea y esencial para garantizar la privacidad de los usuarios) se vuelve difícil de implementar en un entorno donde las redes neuronales almacenan información privada.
Sin duda la IA se tomará la ciberseguridad en el futuro cercano, por ambos bandos. Si no consideramos adecuadamente los riesgos y amenazas que conlleva mal utilizar esta tecnología, cuando nos lleguen a afectar de forma importante sabremos que vamos varios pasos atrás y será demasiado tarde.
