Carlos B Fernández. El pasado mes de diciembre, el Centro Criptológico Nacional (CCN-CERT), presentó su informe de buenas prácticas BP/30 - Aproximación a la Inteligencia Artificial y la ciberseguridad.
Se trata de un documento orientado a aproximar dos disciplinas, la Inteligencia Artificial y la Ciberseguridad, que, con orígenes claramente separados en el tiempo, han visto como sus superficies competenciales se han ido acercando a lo largo de los últimos años hasta lo que en la actualidad constituye una nueva actividad práctica, que aglutina el conocimiento y la experiencia previa de ambas: la Inteligencia Artificial aplicada a la Ciberseguridad o Artificial Intelligence CyberSecurity (AICS).
Ambas disciplinas, por separado, han seguido trayectorias complejas, y su intersección ha provocado tanto nuevos avances como nuevos dilemas que no afectan solo a los tecnólogos sino también, destacadamente, a los profesionales del Derecho, que deben asesorar a sus clientes sobre cómo afrontar los nuevos riesgos jurídicos a los que se enfrentan.
Por ello fue de especial interés la sesión sobre IA y Ciberseguridad, recientemente organizada por el Observatorio de Legal Tech y New Law Garrigues-Icade.
En la misma, Luis Jiménez, Subdirector General del CCN, presentó los principales contenidos del Informe, subrayando, en primer lugar, que la IA, una rama de la informática que utiliza una algoritmia basada en nuevos modelos matemáticos para el manejo de grandes volúmenes de datos a partir de un objetivo muy concreto y por medio de una capacidad de aprendizaje, es una herramienta más de la ciberseguridad, actividad que se refiere al conjunto de medidas organizativas, productivas o técnicas destinadas a proteger la seguridad de las redes y los sistemas.
De las dos principales técnicas de IA, el Machine Learning y el Deep Learning, esta última tiene particular utilidad para la detección de código dañino, la identificación de ataques de fishing y de fraude y la simulación de comportamientos maliciosos o patrones de ataque, además de permitir generar malware con fines de seguridad.
A la vez, en el ámbito de la ciberseguridad estos sistemas se enfrentan a problemas como la dependencia de grandes volúmenes de datos (generalmente no disponibles); a la necesidad de un tiempo de entrenamiento y a la dificultad de la interpretación de los resultados que ofrecen, principalmente a causa de que suelen estar diseñados por expertos en IA y no en ciberseguridad, lo que frecuentemente lleva al problema de las “cajas negras” algorítmicas, una circunstancia que, además, pone de relieve la dificultad (a la vez que la necesidad), de que expertos de uno y otro lado se entiendan.
En la actualidad, añadió Jiménez, la ciberseguridad se orienta hacia sistemas SOAR (Security Orchestration, Automation, and Response systems o de orquestación y automatización de respuesta), que recogen todas las evidencias disponibles en una red corporativa, automatizando la respuesta necesaria ante un ataque.
En este contexto, la IA va a fortalecer la ciberseguridad, haciéndola más robusta, si bien para ello recomendó tener muy en cuenta las recomendaciones que recoge el informe en el sentido de: a) establecer centros de investigación colaborativos, que permitan la colaboración interdisciplinar en ciberseguridad y IA; b) promover una educación y formación especializada centrada en la intersección de la IA y la ciberseguridad; c) elaborar normativas y estándares globales en torno a la aplicación de la IA en ciberseguridad que promuevan un marco de referencia y aseguren que la tecnología se utilice de manera ética y responsable; d) se avance en la investigación en amenazas emergentes, especialmente aquellas que se originan a partir de los más recientes avances tecnológicos; e) desarrollar herramientas de IA explicables, que hagan que la IA sea más transparente y comprensible, ya que las decisiones tomadas por algoritmos de IA en el ámbito de la ciberseguridad pueden tener repercusiones significativas, por lo que es esencial que se puedan explicar y entender; f) promover la privacidad y la ética, centrando las futuras investigaciones no solo en la efectividad y eficiencia de las soluciones de IA en ciberseguridad, sino también en su impacto ético y en la privacidad, desde el prisma de que la privacidad no debe ser un sacrificio para alcanzar la seguridad, y h) realizar pruebas y validaciones rigurosas antes de implementar soluciones basadas en IA en entornos reales, para asegurar que las soluciones sean robustas y confiables ante amenazas del mundo real.
Jiménez subrayó la importancia de la formación, entre otras cosas para ser conscientes de la capacidad de engaño que tiene la IA y su potencial como vector de ataque. En este sentido mencionó también el peligro de las vulnerabilidades “Zero Day”, que son aquellas recién descubiertas, para las que aún no tiene un parche que las solucione, o los malware de clic cero (Zero Click), que no requieren de ninguna acción por parte de la víctima, por lo que pueden causar graves daños sin que la víctima sepa que algo va mal.
Mesa redonda – IA, ciberseguridad y nuevas exigencias para la abogacía
Para continuar con el análisis de esta temática, siguió una mesa redonda, moderada por Albi Rodríguez Jaramillo, colaborador de Garrigues, en la que participaron Alejando Padín, abogado, socio de Garrigues; Elen Irazabal, docente de IA para juristas y Enrique Serrano, responsable de la sección de IA de Ametic y CEO de Tinámica.
Sobre la situación de la IA en nuestro país, Enrique Serrano explicó que esta tecnología todavía registra un bajo índice de implantación en nuestro país. Aunque según el último estudio del Observatorio Nacional de la Tecnología y Sociedad (ONTSI), solo un 30% de las empresas ha implantado esta tecnología, los datos que maneja Ametic sitúan esos datos en un entorno del 8%.
Y es que, añadió, pese al ruido que actualmente rodea a esta tecnología, la IA es una tecnología que requiere, por una parte, una infraestructura tecnológica capaz de gestionar y analizar un gran volumen de datos. Para ello, y a fin de organizar la gestión de la información, se ha acudido a sistemas transaccionales (como los Enterprise Resource Planning, ERP, que integran todas las operaciones transaccionales que tienen lugar en una compañía --gestión financiera, cadena de suministro y almacén, fabricación y logística, compras y ventas, cobros y pagos…--, para garantizar la consistencia de la información y evitar duplicidades en la información o el manejo de datos desfasados entre distintos departamentos) y relacionales (como los Customer Relationship Management, CRM, orientados a optimizar la gestión de cada interacción con los clientes), en una tendencia que, más recientemente, ha tendido a fusionar ambos ámbitos, lo que no es sencillo, sobre todo en grandes organizaciones, como los bancos.
Con carácter general, las organizaciones pueden desarrollar sistemas propios o acudir a los disponibles en el mercado, incluyendo los sistemas de código abierto, que han dado un gran impulso a la IA colaborativa.
En general, la tendencia que se aprecia en la actualidad es a la utilización de lo que Serrano denomina una “IA 1.0”, que, a partir de un conjunto de datos, trata de resolver un problema concreto que se necesita resolver. Se trata de un enfoque que difícilmente escala y que resulta difícil llevar a producción.
Por otra parte, continuó, la IA generativa ha cambiado las cosas, planteando la necesidad de un enfoque estratégico en cada organización, para poder integrar todas las bases de datos de diferentes orígenes existentes en la misma.
En cuanto a las principales vulnerabilidades de los sistemas de IA, Serrano señaló que estas dependen de los sectores, porque según el sector de que se trate, las vulnerabilidades se pueden encontrar en distintas ubicaciones del mismo. Hay muchas aplicaciones de pequeño alcance, menos protegidas, y otras mucho más robustas, como las utilizadas por el ejército.
Por tanto, para estudiar sus posibles vulnerabilidades, aconsejó acudir a la fuente, según el sistema algorítmico utilizado en cada caso.
Además, está el problema de los datos, tanto la obtención de datos de calidad y no sesgados, como la protección de su confidencialidad y seguridad.
Por ello, Serrano concluyó señalando que en el futuro habrá que tener en cuenta el concepto de ciberinteligencia.
Alejandro Padín indicó que el actual marco normativo en el ámbito tecnológico y digital, necesario y útil si se aplica con mesura e inteligencia, es ya suficiente, por lo que quizás convendría que la UE cesase un poco de regular.
Especialmente en un entorno que ha pasado a estar dominado por la burocracia y las autoridades de supervisión, frente a otras opciones, como la seguida por el Reino Unido, más favorable a la aplicación del sentido común en cada caso. Por ello reivindicó la importancia de no perder de vista los principios generales.
En cuanto al papel de los juristas en el ámbito de la ciberseguridad, Padín subrayó la importancia de los equipos mixtos de expertos en IA, en ciberseguridad y también en Derecho, que permitan eliminar las barreras de desconfianza y desconocimiento mutuos. En particular, añadió, en este contexto el abogado aporta orden de ideas, ya que el Derecho sirve para organizar, estableciendo reglas de juego que permitan avanzar.
Pero además, añadió, en este contexto, el abogado tradicional no sirve. Para aportar un valor real a los clientes probablemente haya que cambiar de mentalidad. Los actuales planes de formación están obsoletos. Hacen falta nuevos conocimientos técnicos por parte de los juristas, entendidos no como un elemento esotérico, sino como un integrante más de la vida ordinaria.
En este sentido, Elen Irazabal destacó la fuerte demanda de formación en IA que se está produciendo por parte de los juristas. Lo importante, señaló, es no pretender empezar de cero.
Hoy todo el mundo quiere especializarse en prompting, pero eso es solo una parte, la más llamativa, del problema. En su opinión, el impacto de la IA en el sector va a ser mucho más amplio, por lo que lo fundamental es que los juristas conozcan e intenten entender los fundamentos de esta tecnología, conocer la lógica de los programas y cómo estos adoptan decisiones.
Irazabal se mostró muy crítica con el inminente Reglamento de IA de la Unión Europea, al que considera una mala noticia para innovadores, por el riesgo de que acabe concentrando el desarrollo de esta tecnología en las grandes empresas, que van a ser las únicas capaces de afrontar el reto de gestión que va a plantear su cumplimiento. Un enfoque con el que coincidió Luis Jiménez, para quien el Reglamento es un corsé que va a limitar el desarrollo de esta tecnología.