¿Quién tiene las de ganar en la ciberguerra que viene?

La inteligencia artificial (IA) está más presente en nuestro día a día de lo que podría parecer en un primer momento. La incluyen los programas de edición de imágenes de los teléfonos móviles, los sistemas de reconocimiento facial o de prevención de fraudes que incorporan algunos bancos, los servicios de compras online... y muy pronto configurará un nuevo paradigma en la automoción, pues será parte imprescindible del software que empleen los vehículos autónomos.

No obstante, en lo que se refiere a la defensa, la importancia de la IA empieza a ser determinante. El aprendizaje automático, una técnica que permite a las máquinas encontrar patrones entre la información que manejan y, a partir de ellos, formarse y llevar a cabo por sí solas ciertas tareas, resulta crucial en el ámbito militar. Los datos aportados por los servicios de inteligencia o captados por los sensores a bordo de aviones o satélites son así convenientemente procesados y analizados, con el fin de evaluar las amenazas o los riesgos de una misión. La IA pondera las intenciones del enemigo y compara un posible choque con otros que ya han tenido lugar o con los resultados de ejercicios almacenados en bases de datos. Y todo ello a gran velocidad.

Es más, sus aplicaciones no se limitan al campo de batalla físico. La inteligencia artificial podría ser el arma definitiva en la ciberguerra, y no solo en lo que se refiere al ataque. Las defensas, desde los firewalls o cortafuegos hasta los programas de detección de virus y troyanos, también se benefician de ella.

Aunque esta forma de automatización puede asustar, un choque a gran escala entre inteligencias artificiales aún es algo exclusivo de la ficción. Sin embargo, estas tecnologías sí pueden afectar a las relaciones de los países y a su forma de encarar su defensa. “Cuando se sufre un ataque, no hay forma de saber si este ha tenido por objeto reducir las capacidades del blanco o si es el preludio de otro aún mayor. En general, se tiende a pensar en el peor escenario posible, por lo que todo el mundo se prepara para contrarrestarlo, y ello podría llevar a que el conflicto se agravara más de la cuenta”, analiza para Muy Interesante Guillem Colom, codirector y cofundador de Thiber, un laboratorio de ideas centrado en la protección del ciberespacio. “Por poner una analogía: se puede detectar el lanzamiento de un misil balístico, pero desconocer si está equipado o no con una cabeza nuclear”, indica Colom.

Objetivo: infrestructuras e instalaciones fundamentales

Entre los objetivos prioritarios de los ciberataques se encuentran las infraestructuras e instalaciones fundamentales, como, por ejemplo, las centrales energéticas. En los últimos años ha quedado patente lo vulnerables que pueden llegar a ser estas instalaciones y cómo una agresión limitada contra ellas puede organizar un notable caos, debido, sobre todo, a que se encuentran sumamente conectadas. Eso es lo que ocurrió con Stuxnet, un gusano informático detectado en 2010 que conseguía reprogramar sistemas industriales y ocultaba los cambios que realizaba. En junio de 2012, el New York Times reveló que había sido diseñado por expertos de Estados Unidos e Israel como parte de la operación Juegos Olímpicos, dirigida principalmente contra las instalaciones nucleares iraníes. Según parece, Stuxnet tomó el control de más de mil centrifugadoras de la planta de Natanz –el 20 % del total–, unos ingenios que se utilizan para producir uranio enriquecido, y les dio la orden de autodestruirse. También logró anular el sistema de apagado de emergencia. Pero algo propició que se expandiera más allá de los equipos de Natanz y alcanzara otros puntos del globo.

Stuxnet fue la primera de estas ciberarmas que suscitó la alarma internacional, pero, desde luego, no ha sido la única. Algo parecido ocurrió en mayo de 2017, cuando WannaCry, un programa de tipo ransomware que restringía el acceso a los sistemas infectados, dañó cientos de miles de ordenadores en todo el mundo, entre ellos los del Servicio Nacional de Salud del Reino Unido. Según el Departamento de Justicia estadounidense fue ideado en Corea del Norte.

“Todos los días se libran batallas en el ciberespacio, pero, a diferencia de otras, estas son invisibles para la mayoría de la población. Aun así, hacen un daño muy significativo”, reflexiona Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional. En American Blackout, un docudrama de 2013 dirigido por Jonathan Rudd, se muestran las devastadoras consecuencias que podría tener un ataque de este tipo al sistema eléctrico de Norteamérica. “Si se corta el suministro, puede que tengas problemas incluso para salir de tu trabajo e ir a tu casa, pero también para hacer transferencias bancarias, pagar con tarjetas... A partir de ahí, se suceden los problemas, como un efecto dominó”, relata Fernando J. Sánchez, director del Centro Nacional de Protección de Infraestructuras Críticas.

“Si te quedas sin un servicio esencial, ese arrastra a otro, hasta que todo acaba colapsando. Las redes están totalmente interconectadas, sobre todo desde la implantación del internet de las cosas (IoT, por sus siglas en inglés), un sistema que favorece la comunicación entre muy distintos tipos de dispositivos y objetos. La electricidad es lo que hace que el conjunto sea viable —insiste Sánchez. Y añade: “No puedes suministrar agua si no tienes una bomba que la extraiga. Si no tienes agua, no puedes refrigerar las centrales nucleares y las hidroeléctricas serían inservibles. El fenómeno de la interdependencia implica que cualquier problema en un servicio estratégico va a acabar afectando a otro, al igual que un eslabón tira del siguiente; y ello puede acabar llevándonos a la anarquía”.

Ataques que crean máquinas ‘zombis’

A veces, los ciberataques utilizan programas maliciosos que infectan los equipos de una compañía o sus aparatos IOTy los convierten en máquinas zombis. Estas pasan desapercibidas, pero pueden apoderarse de ellas y ponerlas a su servicio para los fines que deseen. Cualquier cosa conectada a la Red se convierte así en un posible objetivo. Podría darse el caso de que un agresor tomara el control de un vehículo y que, en algún momento, le ordenara detenerse o le obligara a chocar contra algo. O que desactivase el sistema de respiración asistida de un determinado paciente, quizá un destacado dirigente, y propiciase una crisis política. Al fin y al cabo, muchos sistemas médicos también están conectados a redes, tanto locales como a internet. No se trata del argumento de uno de los episodios de la famosa serie distópica Black Mirror. Ya en 2007, el exvicepresidente estadounidense Dick Cheney le pidió a su médico que desactivase la función inalámbrica de su marcapasos, pues temía que fuese pirateado.

Según un estudio realizado por la consultora PwC, el 27 % de las grandes empresas tienen previsto invertir en los próximos meses en sistemas de seguridad que emplean algoritmos de IA. Que sus responsables tomen conciencia del riesgo que constituyen los ciberataques es importante, pero, en realidad, la parte más débil en todo este asunto son los propios usuarios.

Bien por descuido o por no tomar las medidas oportunas, suelen ser estos los que propician que aparezcan brechas en las defensas. Por ejemplo, es relativamente sencillo conocer nuestros gustos y rutinas a partir de las acciones que llevamos a cabo en las redes sociales, como Facebook o Twitter. Con esos datos, se pueden diseñar correos electrónicos que parecen específicamente dirigidos a nosotros, pero que incluyen archivos maliciosos adjuntos. Una vez ejecutados, los virus, troyanos o gusanos cargados en ellos lo tienen fácil. En este sentido, las citadas técnicas de aprendizaje automático favorecen la capacidad de explotar posibles vulnerabilidades. Las IA dan a los ejércitos una ventaja fundamental en la toma de decisiones: la velocidad. Su capacidad de cómputo y manejo de datos supera con creces a los operadores humanos.

Pero nuestra presencia aún es necesaria. José Ramón Palanco, fundador de Dinoflux, una compañía dedicada a la protección frente a las ciberamenazas que da servicios a empresas y Gobiernos, ve improbable que se produzca una automatización completa en el ámbito de la ciberguerra. Le resulta impensable que dos máquinas vayan a darse de tortas sin que ninguna persona esté detrás de ellas.

Una IA bajo control

“A corto plazo, todas las acciones de las IA serán supervisadas.El desarrollo de una totalmente autónoma, capaz de atacar o defenderse por sí sola, no tiene mucho sentido; se puede descontrolar”, indica Palanco. Según este, en todos los sistemas que usan algoritmos se producen muchos falsos positivos, esto es, se equivocan al tomar una decisión o clasificar algo. “No podemos atacar o destruir un servidor u otros equipos sin estar completamente seguros de lo que ocurre. Por eso es difícil concebir que una IA autónoma se enfrente a otra similar”, señala Palanco.

Y aun así, en el Foro Económico Mundial de Davos de 2016 se planteó que el desarrollo de máquinas letales capaces de actuar por su cuenta es inevitable. Numerosos expertos muestran su inquietud ante la posibilidad de que se construyan dispositivos de este tipo en secreto, sin ningún tipo de supervisión o cortapisas morales. De momento, los robots armados que existen, como los drones MQ-1 Predator y MQ-9 Reaper, de la Fuerza Aérea de Estados Unidos, están controlados por personas.  Pero ¿y si esto cambia?

En la compañía Panda Security tampoco creen que la mano humana vaya a desaparecer del todo pese a los avances tecnológicos. “Es cierto que gracias a la IA contaremos con sistemas más autónomos y eficientes que, en su parte más positiva, van a mejorar nuestras vidas. En cualquier caso, en ellos siempre estará presente una puerta trasera o la posibilidad de aplicar excepciones a su funcionamiento que nos permitan retomar el control”, asegura Conrado Crespo, consultor de dicha firma.

Las limitaciones legales de la ciberguerra

Otro de los aspectos que limita la construcción de una inteligencia artificial autónoma en el ámbito de la ciberguerra es el legal. Ha de existir alguien al que se pueda responsabilizar.

Por lo general, la decisión de lanzar un ciberataque a un país suele provenir del más alto nivel político. “Aunque los actores no estatales tienen muchas capacidades, lo más gordo, por así decirlo, suele venir del Gobierno, pues el hecho de poner en marcha algunas de estas acciones implica tomar medidas estratégicas”, aclaran desde Thiber.

En los últimos años, algunas figuras muy relevantes de la ciencia y la tecnología, como Stephen Hawking, Bill Gates y Elon Musk, han expresado públicamente su preocupación sobre este tema, y han advertido sobre los posibles riesgos que podría conllevar una mala aplicación de la inteligencia artificial.

Misión: asegurarse de que los robots no acabarán rebelándose en el futuro contra la humanidad

En 2015, Musk, con el apoyo de los inversores Sam Altman y Peter Thiel, creó una organización denominada Open AI, en la que inyectaron mil millones de dólares. Su objetivo es asegurarse de que los robots no acabarán rebelándose en el futuro contra la humanidad o que se haga un uso inapropiado de la IA. Y, sobre todo, que en esta cuestión se vele más por nuestra especie que por los intereses económicos. “Es complicado predecir cuándo tendrá lugar el  advenimiento de una inteligencia artificial que se encuentre a nuestro nivel. Cuando ocurra, será importante contar con una institución líder que pueda priorizar los resultados sobre su propio interés”, recoge la Open AI en su documento de presentación.

En agosto de 2017, 116 emprendedores tecnológicos y expertos en IA –entre ellos el propio Musk– enviaron una carta abierta a la ONU en la que solicitaban que bloquease el desarrollo y el uso de las armas autónomas. En el escrito, advertían de que ello podría hacer que los choques bélicos se libraran a una escala “como nunca antes se había visto” y con intervalos de tiempo tan breves que nos dejarían sin capacidad de reaccionar. Su mensaje final era bastante alarmista: “No tenemos mucho tiempo para actuar. Después de que se abra la caja de Pandora, será difícil cerrarla”.

Musk ha llegado a definir la inteligencia artificial como la mayor amenaza a la que podría enfrentarse la humanidad y se ha convertido en uno de los mayores defensores de que se regule. Considera que su utilización en el campo militar podría derivar en una especie de revolución armamentística.

Durante una convención de la ONU celebrada en 2016, se puso sobre la mesa que el armamento autónomo debería estar sujeto al derecho internacional humanitario. “Al igual que existe una regulación para las armas nucleares y químicas, también debería haberla para estos ingenios”, opinan desde el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Su director, Fernando J. Sánchez, sostiene que incluso va a ser necesaria una normativa internacional sobre la ciberseguridad y el uso de internet y las nuevas tecnologías. “Otra cosa es que los países que no se adhieran a esos tratados las acaben empleando a su antojo”, matiza Sánchez.

Consciencia internacional para poner límites

La mayor parte de la comunidad internacional es cada vez más consciente de la necesidad de establecer límites legales y responsabilidades en relación con este asunto. El pasado junio, el Parlamento Europeo aprobó la moción A8-0189/2018, que indica que las fuerzas armadas ya reconocen de manera generalizada el ciberespacio como “el quinto escenario bélico”. Asimismo, se subraya el creciente papel que desempeña la IA en las capacidades ofensivas y defensivas en este entorno virtual y se insta a la Unión y a los Estados miembros a que presten especial atención a este ámbito, tanto en las actividades de investigación como en el desarrollo práctico de sus capacidades defensivas.

De hecho, la Unión Europea baraja poner en marcha un protocolo que les permita dar una respuesta diplomática conjunta ante actividades informáticas malintencionadas e impulsar medidas restrictivas contra adversarios, así como posibles sanciones. Además, propone colaborar con la OTAN en el ámbito de la ciberguerra.

¿Debería existir un organismo internacional independiente que tratase de limitar el uso de la IA en este contexto o tal iniciativa no sería más que intentar poner puertas al campo? Quizá serviría de algo, pero desde Panda creen que, al igual que ocurre con la inteligencia tradicional y el espionaje, los límites legales serán traspasados. “En este caso, lo importante sería no ser identificado como el responsable de la acción perpetrada”, explican desde esta compañía. En este sentido, los Gobiernos suelen contratar a hackers ubicados en otros países para perpetrar los ataques y así enmascarar su autoría. “Desde un punto de vista jurídico internacional lo más lógico sería establecer un marco de confianza. Sin embargo, a veces los que están más interesados en regular son los Gobiernos menos transparentes”, señalan desde Thiber.

También es preciso tener en cuenta que el hecho de regular la utilización de la IA y obligar a los países a que actúen con total transparencia en su uso bélico choca frontalmente con el efecto sorpresa que se espera de un ciberataque. “Los activos ciber funcionan cuando no se sabe lo que tienes. En los ámbitos militar y geopolítico, hay cosas que disuaden si se muestran –el arsenal nuclear, por ejemplo–, pero este caso es muy diferente. Si se exhiben las armas, el enemigo puede prepararse para contrarrestar esa tecnología. Además, muchas de ellas son de un solo uso”, justifican desde este laboratorio de ideas.

¿Qué es mejor un buen equipo humano o la mejor IA?

Por otro lado, ¿quién tiene las de ganar en la ciberguerra que viene? ¿Se impondría quien poseyera el mejor equipo humano o la mejor tecnología de IA?¿La clave está en desarrollar las mejores ciberarmas o en contar con genios capaces de anularlas? En el fondo, no se trata de una cuestión exclusiva de nuestros días. Por el contrario, lo que subyace tras todo ello puede trasladarse perfectamente a los conflictos bélicos de la antigüedad. “La tecnología es el elemento diferencial de los ejércitos desde tiempos remotos. En el pasado, los que empleaban el hierro se imponían a los que seguían usando armas de bronce. Está claro que tener a tu disposición herramientas avanzadas ayuda mucho. Pero si no cuentas con buenos soldados, de nada te sirve”, apostilla Sánchez.

Eso sí, en lo que se refiere a la ciberguerra a gran escala, entre Estados, existe una notable diferencia con las contiendas convencionales. En este último caso, es habitual que alguno de los actores implicados adquiera armamento a terceros países, lo que conlleva una gran inversión. Pero en este campo, además, es necesario apostar por un desarrollo tecnológico propio. Palanco lo razona así: “Contamos con tecnología norteamericana o israelí, pero sería muy interesante disponer de otra que fuera Made in Spain. No puedo tener un sistema que me proteja de un posible agresor cuando, a lo mejor, el ataque proviene del mismo fabricante”.

Mayor cooperación entre instituciones educativas civiles y academias militares

Y no hay que olvidar que los estados necesitan cada vez más especialistas en ciberseguridad; en concreto, que estén formados en sistemas de inteligencia artificial. Es más, la carencia de expertos en la materia puede ser un auténtico problema. Los técnicos de la UE que valoran esta cuestión sostienen que sería deseable una mayor cooperación entre las instituciones educativas civiles y las academias militares, así como destinar más recursos al entrenamiento en ciberoperaciones. Esto es, entienden que los países miembros no deben centrarse únicamente en la contratación de personal competente para las fuerzas armadas, sino también en mantener a los especialistas necesarios. Lo cierto es que esta carencia es una de las causas de que en esta área se produzca una constante fuga de talentos. Por ejemplo, las empresas o administraciones españolas que quieren reclutar hackers difícilmente pueden competir con los sueldos astronómicos que se llevan los cracks de la ciberseguridad en Estados Unidos, cuyos salarios anuales rondan entre los 200.000 y los 250.000 dólares.

Si tenemos en cuenta todo lo mencionado anteriormente, queda bastante claro que organizar el comando de ciberseguridad ideal no es una tarea fácil. Un departamento gubernamental dedicado a la ciberguerra que quiera cubrir todos los frentes debería contar con perfiles muy variados. Además de tener entre sus filas buenos desarrolladores de tecnologías de seguridad, también necesitaría disponer de profesionales que sepan cómo organizar eficazmente un ataque o hacer labores de contrainteligencia.

Este artículo original salió publicado en la revista ‘Muy Interesante’ nº 453