En materia de ciberseguridad el concepto de “riesgo” apunta a una valoración cuantitativa de un peligro. Eso es importante dado que la ciencia y tecnología tienden a soportarse sobre las matemáticas y ello otorga una base lógica y propicia para la experimentación, esto genera un piso firme para reconocer la verdad.
Retomando la idea principal, el riesgo refiere al producto numérico de una probabilidad de materialización de una amenaza con la valoración del grado de perjuicio que esto produciría sobre el bien que está en peligro. Ello quiere decir, que podemos estimar numéricamente cuán cercanos estamos o está un bien cualquiera, frente a un peligro. Luego, se analiza la amenaza y se gestiona la respuesta defensiva.
Ahora bien, contrario al discurso comercial o propagandístico que predomina hoy en día, ninguna tecnología es totalmente “perfecta o invulnerable”. En verdad, esto es un asunto de ventajas, desventajas, fortalezas, debilidades y planificación de escenarios con protecciones. Es decir, esto requiere estudiar, conocer, analizar, hacer ingeniería, probar y mantener el “ciclo de vida” de los artefactos. Desde hace décadas que eso se aprendió acerca de la tecnología y como se puede suponer, la tecnología digital no es la excepción.
Por otra parte, como es lógico esperar, los novedosos avances en materia de Inteligencia Artificial (IA) tampoco escapan a esta realidad. Por décadas esta área estuvo “empollando” y en los últimos 5 años ha producido espectaculares progresos, con desarrollos prácticos, de notable impacto, al alcance de la mayoría y con un enorme potencial para negocios y grandes fortunas. Se vislumbra significativos impactos en la sociedad. Trabajos de un nivel instrumental profesional, que pueden demandar haber cursado en alguna universidad o tener una serie de estudios, pudieran ser sustituidos o trastocados. En ese orden de afectación van las predicciones expertas.
Pero hay un lado menos conocido, más difícil de vislumbrar y se refiere a la seguridad de esta tecnología. Y es que el asunto gira en torno al control humano sobre cada tecnología y desarrollo instrumental que creamos. Tradicionalmente, se investiga el funcionamiento operativo y luego, se piensa en la seguridad. Esta aproximación se ha prolongado por siglos como lo apropiado con las etapas de desarrollo, industrialización y comercialización. Sin embargo, con la seguridad esa orientación no parece ser la ideal, ya que numerosos problemas tienen soluciones más fáciles si se atienden en tiempo de diseño; quiere decir que son más sencillos y de menor costo si se aplican durante la concepción y formulación lógica, no después de que la obra esté construida o activa. A esto se denomina “seguridad desde el diseño”.
Uno pensaría que entonces no hay dificultad alguna y que se debe seguir esta pauta, pero el problema es que incorporar seguridad desde temprano consume notable tiempo y eleva los costes de producción. Por lo que en un mundo donde la irrupción y exposición temprana en el mercado comercial puede hacer la diferencia en el éxito, muchos prefieren liberar sus productos y luego atender la seguridad de los mismos. La estrategia de los “parches de software” correctivos pertenece a esa línea y es ampliamente usada.
Volviendo ahora con la IA; dada su posible impacto social, económico y hasta de cambio en diferentes niveles de tomas de decisiones, esta viene generando amplios y controvertidos debates. Así hemos visto, desde renombrados científicos y ganadores de altos premios alertando sobre su empleo sin regulación y control, hasta políticos que hacen de esta tecnología su bandera de soluciones frente a los grandes dificultades que enfrentan las naciones modernas. ¿Quién o quienes están en lo cierto?
Ante dudas tan serias, la costumbre es tomarse un tiempo para conocer con mayor profundidad el tema y luego decidir. Por eso, fue que en 2023, la recién pasada administración gubernamental de EE.UU. proclamó una orden ejecutiva presidencial orientada a revisar en modo preventivo, los riesgos de seguridad con la IA -la traducción técnica especializada pudiera ser riesgos de confiabilidad-. De esa forma, antes de que esa tecnología llegara al mercado comercial, se generaba un tipo de moratoria a los fabricantes que contribuye a descubrir y prevenir consecuencias no concebidas.
Lo que el nuevo presidente estadounidense Trump acaba de hacer es anular tal orden pasada, con lo cual el pistoletazo de partida vuelve a sonar y la carrera por la comercialización de esta tecnología resulta nuevamente válido. Resulta curioso que casi el mismo día, la empresa OpenAI despedía a un investigador que, usando su producto estelar Chat-GPT®, violó sus políticas de trabajo y elaboró un rifle automático de asalto, que estaba controlado en su totalidad por esa herramienta.
Frente a esa peculiaridad, nos viene a la memoria una frase del prefacio del texto Ingeniería de la Ciberseguridad, de las doctoras Nancy R. Mead y Carol C. Woody, académicas reconocidas en materia de ingeniería de software y estudiosas del área, que en 2017 escribieron: “Determinar que acciones de seguridad deben tomarse conforme al presupuesto y los calendarios no es efectivo”.
Autor: Miguel Torrealba S.
Universidad Simón Bolívar
Departamento de Computación y Tecnología de la Información
mtorrealba@usb.ve
