José Manuel Muñoz VelaLa información se ha convertido en uno de los principales activos de cualquier persona u organización y objeto de deseo para el lado más oscuro del ciberespacio
VALÈNCIA. Este lunes se celebró el Día Internacional de la Seguridad de la Información, como cada 30 de noviembre, bajo el nombre de Computer Security Day. Se trata de una iniciativa de la Association for Computing Machinery (ACM) con el objetivo de concienciar sobre la importancia y necesidad de proteger la información a través de buenas prácticas y medidas en los sistemas y entornos que la almacenan y gestionan. Hagamos recordatorio todos los días de la necesidad de la ciberseguridad. Una de las mejores maneras de celebrarlo por parte de todos y, especialmente, Administraciones públicas y empresas, sería la promoción de la concienciación y difusión entre sus empleados de normas y buenas prácticas en materia de seguridad de la información, especialmente en el contexto actual de virtualización de entornos y de teletrabajo.
La información se ha convertido en uno de los principales activos de cualquier persona u organización y objeto de deseo para el lado más oscuro del ciberespacio. Personas, organizaciones, gobiernos y máquinas se relacionan e interaccionan en un espacio que no conoce de fronteras y donde no existe un marco legal único que defina sus reglas. En este entorno se realizan acciones y conductas que pueden perjudicar a cualquiera de los agentes que interaccionan en el mismo, así como a su integridad física, bienes, derechos e intereses. Sin embargo, el tratamiento legal y consecuencias asociadas a estos actos no es uniforme a nivel mundial y una conducta ilegítima, ilegal o delictiva conforme al ordenamiento jurídico de un país no tiene porque serlo conforme al ordenamiento jurídico de otro.
La legislación se ha ido adaptando a los nuevos cambios de la sociedad que pretende regular si bien, nunca a la velocidad en crecimiento constante con la que ésta cambia. Todavía hoy resolvemos conflictos con grandes tecnológicas con códigos de hace dos siglos, lo que por otra parte demuestra su eficacia a pesar del contexto político, económico y social en los que fueron elaborados. Del mismo modo, los marcos regulatorios actuales, como el de Propiedad Intelectual, todavía no contemplan categorías específicas como web, app, videojuego o inteligencia artificial, por lo que nuestra labor interpretativa e integradora como profesionales es intensa.
Hasta fechas muy recientes, ni tan siquiera disponíamos de herramientas en el Código Penal para actuar frente hackers y crackers. Y por el camino, han irrumpido en nuestra vida diaria tecnologías calificadas como disruptivas -lo realmente disruptivo, más que la propia tecnología, es su aplicación y los nuevos usos y modelos de interacción, organización o de negocio que permiten- con la finalidad de resolver problemas, satisfacer necesidades y mejorar la vida del ser humano, así como mejorar, optimizar y hacer más competitivos los productos y servicios de empresas y servicios de Administraciones públicas.
En este sentido, no debemos olvidar algo que vengo reiterando desde el inicio de mi trayectoria profesional en Derecho Tecnológico y Digital: “La tecnología no debe ser un fin en sí misma sino un medio para satisfacer nuestras necesidades, conseguir nuestros objetivos personales y corporativos y mejorar nuestra vida, actividades, servicios y negocios, y su competitividad”.
Las tecnologías, sistemas y servicios de mayor impacto en este instante forman parte de nuestra vida personal y empresarial, y parece una necesidad ineludible su integración en cualquier organización. Teléfonos, relojes, aspiradoras, televisiones, coches o casas inteligentes constituyen elementos cada vez más ordinarios en nuestro día a día.
El cloud (nube), la inteligencia artificial (AI), el Big Data, la blockchain, la automatización robótica de procesos (RPA), la realidad aumentada (AR), virtual (VR) y extendida (XR), entre otras, forman parte de la agenda de cualquier nuevo proyecto, empresa o servicio público o privado. Y en unos años también la computación cuántica. Todo ello ha generado una carrera a nivel mundial por liderar estas tecnologías y servicios, encabezada por alguna de las grandes tecnológicas y países como China y EE UU, a la que se ha sumado la UE.
No obstante, estas tecnologías, sistemas y servicios no son nuevos. A modo de ejemplo, el concepto de inteligencia artificial fue acuñado por primera vez en 1956 por John McCarthy, destacado profesor e investigador a nivel mundial en materia de IA y fundador del Laboratorio de Inteligencia Artificial del MIT junto con Marvin Minsky, al que también se le atribuye el concepto de 'cloud computing'.
Los usos y aplicaciones de todas estas tecnologías, sistemas y servicios aportan indudable valor al ser humano, si bien, conllevan también riesgos que deben ser previamente identificados y adecuadamente gestionados por sus diseñadores, desarrolladores y operadores, entre otros, de seguridad física y lógica (digital), especialmente para personas, instalaciones y cosas, y particularmente para la información personal y corporativa.
En 2010 fuimos testigos como un virus informático fue introducido en los sistemas de una central nuclear en Natanz (Irán) para paralizar la misma, consiguiéndolo, y ello utilizando el eslabón más débil en la seguridad, el humano, dejando un USB 'perdido' en el exterior de la planta y que fue encontrado y conectado a sus sistemas informáticos por su propio personal. Se vio comprometida la seguridad física de personas, instalaciones y cosas, así como la lógica de sus sistemas.
La exigencia de determinadas normas éticas es un primer paso pero insuficiente a mi juicio, debiendo acompañarse de un marco regulatorio complementario al existente que establezca el carácter vinculante de dichos principios y que determine los derechos, obligaciones y responsabilidades de todas las partes involucradas, incluyendo autoridades, con el objetivo, de un lado, de garantizar la seguridad y confianza para todas ellas, tanto personas usuarias como diseñadores, desarrolladores y operadores de estas tecnologías y sistemas y, de otro, de apoyar y no obstaculizar la innovación tecnológica y la competitividad empresarial. Éste es el espíritu de las propuestas de reglamento europeo sobre principios éticos para el desarrollo, despliegue y uso de la inteligencia artificial, así como sobre responsabilidad civil derivada del uso de sistemas de inteligencia artificial, que fueron aprobadas el pasado mes de octubre. Un buen ejemplo de instrumento legal concebido en la línea indicada es el Reglamento General de Protección de Datos europeo (RGPD).
En paralelo a todos estos avances tecnológicos imparables, las incidencias de ciberseguridad no dejan de crecer. 'Los malos' también conocen estas tecnologías y también las están utilizando para llevar a cabo sus acciones en su beneficio, por lo que si las tecnologías, sistemas y servicios mencionados anteriormente deben formar parte de la agenda estratégica y de transformación digital de cualquier gobierno, empresa u organización, la ciberseguridad, también.
Dentro de esa agenda, sin duda, deben incluirse herramientas para solucionar los desafíos que plantea el ciberespacio y los problemas actuales de identificación y persecución de los ciberdelincuentes -amparados en el anonimato, su ubicación, los límites territoriales de algunos marcos legales o en el proteccionismo/ausencia de regulación de otros-, la agilización de la tramitación de los procedimientos de investigación y enjuiciamiento, la mejora de los medios de los cuerpos y fuerzas de seguridad especializados y de la mejora de la cooperación internacional a nivel policial y judicial. Los ataques a gobiernos, infraestructuras críticas, servicios esenciales, empresas (grandes y pequeñas) y ciudadanos no han cesado ni un solo instante. Todo lo contrario, y la tendencia es creciente. Según la firma de ciberseguridad CrowdStrike, los ataques de intrusión durante la primera mitad de 2020 ha superado en un 17% la registrada en todo 2019.
Según el último Informe de Cibercriminalidad en España 2019 elaborado por el Ministerio del Interior, el 88% de los ciberdelitos cometidos corresponden a la categoría de fraudes informáticos, seguidos por los de amenazas y coacciones y los de falsificación informática. Asimismo, la Interpol ha destacado el alarmante crecimiento del cibercrimen durante 2020, especialmente con ataques dirigidos a los empleados en modalidad de teletrabajo, así como el cambio de objetivo de los ataques, pasando de centrarse en los particulares a dirigirse contra las administraciones y las infraestructuras sanitarias esenciales. En sus últimos informes destaca el crecimiento de las estafas por Internet y el phishing, el malware disruptivo (ransomware y DDoS), el malware destinado a la obtención de datos y los dominios malignos.
La transformación digital obligada y acelerada que ha motivado la pandemia ha sido aprovechada por los ciberdelincuentes -muchos de ellos grandes estructuras empresariales- y, de hecho, no han respetado ni hospitales, dado que el sector sanitario ha sido uno de sus objetivos más castigados, con impacto no sólo lógico sino físico, dado que ha habido pacientes que han perdido la vida al 'caerse' los sistemas de los que dependían.
Los medios utilizados por los ciberdelincuentes, los desgraciadamente ya tradicionales y aprovechando el precitado 'eslabón más débil', especialmente el correo electrónico, al que los lanzan sus acciones con la finalidad de introducir virus u otros archivos maliciosos en equipos y sistemas, facilitar enlaces a páginas falsas, suplantar la identidad del remitente, IP, correo o web (spoofing) u obtener credenciales y datos de acceso mediante phishing. Y también incluso vía SMS. El ransomware se ha disparado igualmente en sus distintas modalidades, especialmente mediante el secuestro de sistemas y datos hasta el pago del rescate solicitado. El pasado mes de octubre, EEUU sufrió una oleada de ataques de ransomware que afectó a hospitales de Nueva York, Oregón y California. Una de las últimas compañías afectadas este mismo mes, la japonesa Capcom, públicamente reconocido por la misma.
El phishing, como indicaba en artículos anteriores, es cada vez más sofisticado y elaborado y también el whaling dirigido altos cargos. Sin embargo, empiezan a proliferar ataques más sofisticados utilizando la IA mediante su automatización, especialmente el denominado 'spear phishing' (phishing selectivo).
La IA no está al margen de toda esta realidad. De un lado, estamos desarrollando soluciones de IA para ciberseguridad, pero los ciberdelincuentes también, lo que augura un nuevo escenario 'bélico' digital entre sistemas automatizados o inteligentes de 'buenos contra malos', con análisis de patrones respectivos de conducta para la búsqueda y explotación de debilidades. En mi opinión, los ciberataques a través de IA que previsiblemente aumentarán en los próximos años serán tanto los orientados contra la seguridad lógica (ataques a infraestructuras críticas y servicios esenciales), como los de seguridad física (personas) y seguridad política (estados y gobiernos).
La IA ha aportado enormes ventajas al ser humano pero, inevitablemente, aumenta las amenazas y comporta otras nuevas, permitiendo ataques más dirigidos, si bien, del mismo modo, aporta grandes ventajas para protegerse frente a todo ello. Los ataques mediante IA pueden ir desde el uso sintetizadores de voz para la suplantación de la persona a la detección y explotación automatizada de vulnerabilidades en el software o en sistemas de IA, por ejemplo, mediante la simple manipulación de los datos que percibe un coche autónomo. Las experiencias ya se han tenido. En un experimento llevado a cabo por investigadores de McAfee en 2017, demostraron como podían engañar a un coche autónomo, y ello simplemente cambiando el diseño del tipo de fuente utilizado en una señal de tráfico que limitaba la velocidad a 35 millas/hora, colocando una simple pegatina encima. La máquina confundía el 3 con un 8, a pesar de que para el ojo humano seguía siendo un 3.
No obstante, ante este escenario, el mensaje debe ser de absoluta tranquilidad. La tecnología salva vidas, detecta precozmente enfermedades, mejora su tratamiento, nos protege y nos ayuda en nuestra vida diaria y puede contribuir de una manera radical a hacer un mundo mejor y más sostenible. Parece que en este artículo hemos hablado sólo de sus inconvenientes o riesgos por el día en el que estamos, pero sin duda, poniendo todo en una balanza, la inclinación es inmediata hacia el avance tecnológico y su integración en nuestras vidas. Todo esto, 'lo bueno y lo malo', forma de nuestra vida y debemos aprender a convivir con ello. Nuestras autoridades están trabajando en adecuar los marcos regulatorios, nuestros cuerpos policiales están haciendo un trabajo diario excepcional a pesar de su complejidad, nuestros jueces del mismo modo y la mejora constante de nuestra seguridad y protección forma parte de la agenda de gobiernos y legisladores y constituye objetivo estratégico de sus políticas. No obstante, debemos ser conscientes de esta realidad y actuar con cautela y con responsabilidad.
Una de las mejores armas contra la ciberdelincuencia es la información, la formación y la concienciación, y ésto debe ser liderado por gobiernos y autoridades responsables así como integrar estas materias en el sistema educativo y en las edades más tempranas, para que nuestros hijos se hallen concienciados y formados de los riesgos que comporta el uso y aplicación de la tecnología y estén preparados para afrontarlos.
Del mismo modo, las empresas y las Administraciones Públicas deben incrementar sus esfuerzos por concienciar y formar a sus empleados e impartir instrucciones, directrices, normas y buenas prácticas sobre el uso de medios corporativos o, en su caso, personales, para la realización de sus tareas en entornos virtualizados y de teletrabajo, especialmente lo que supongan el acceso online a sistemas e información corporativa, incluyendo equipos y dispositivos, aplicaciones, información, redes o correo electrónico.
José Manuel Muñoz Vela es abogado especialista en Derecho Tecnológico y Digital y director jurídico de Adequa Corporación
