El experto español en ciberseguridad Antoni Bosch Pujol, expone los riesgos que presentan la inteligencia artificial y la computación cuántica para la ciberseguridad actual, y alerta sobre cómo estas tecnologías pueden facilitar ataques complejos incluso para delincuentes sin formación técnica. Bosch destaca la falta de conciencia en Perú y subraya la importancia de una cultura de prevención y educación en seguridad digital para enfrentar estos desafíos. Alerta sobre el riesgo que el tema supone para infraestructuras críticas, altamente automatizadas, como el flamante puerto de Chancay.
En este caso, ¿hasta qué punto la delincuencia, la ciberdelincuencia, puede favorecerse de la inteligencia artificial para la captura de datos?
Totalmente. Lo que estamos viendo es que la inteligencia artificial (IA) está potenciando los ciberataques. Puedes programar la IA para fines positivos o negativos, tal como ocurrió en su momento con la energía nuclear, que trajo beneficios, pero también la bomba atómica. Con la IA ocurre algo similar: puedes crear programas beneficiosos o herramientas que generen códigos maliciosos. Hoy, los ataques son más sofisticados porque están impulsados por inteligencia artificial. La ciberseguridad ahora es un juego entre inteligencias artificiales, donde cada avance en defensa se enfrenta a una versión mejorada en ataque. Esto plantea grandes desafíos para los expertos en seguridad, pues deben estar siempre un paso adelante. Sin embargo, el gran problema es que muchos aún no comprenden la magnitud del riesgo que representa esta tecnología.
Hace tiempo, autores como García Márquez decían que la realidad superaba a la ficción. ¿Estamos viendo eso ahora, especialmente con los ciberataques recientes?
Exactamente, y esa frase parece hacerse realidad más cada día. Hoy, el desarrollo de la IA ha llegado a puntos que antes solo veíamos en películas de ciencia ficción. Es perturbador que la inteligencia artificial, que antes estaba limitada a expertos, ahora pueda ser utilizada para ciberataques por personas sin una formación avanzada en informática. Esto abre la puerta a que prácticamente cualquiera, con acceso a herramientas de IA, pueda lanzar ataques complejos. Además, hay un problema de acceso desigual: existen grandes brechas entre las zonas urbanas y rurales. Hablar de IA a personas que apenas tienen lo básico para sobrevivir puede sonar irreal, pero esta desigualdad también expone a los sectores más vulnerables. Estamos rodeados de infraestructuras automatizadas, como aeropuertos, sistemas de transporte o de distribución de agua, que son críticos para nuestra seguridad. Si un ataque interfiere en estos sistemas, el impacto podría ser catastrófico, y esto es algo que las autoridades deben entender cuanto antes.
¿Qué debemos esperar en el futuro?
La realidad es que todos estamos expuestos. En ciberseguridad se dice que hay dos tipos de organizaciones: las que han sido atacadas y las que serán atacadas. Esto es más cierto que nunca. Las instituciones deben aceptar que, a medida que la tecnología avanza, las amenazas también lo hacen. Otro gran desafío que se avecina es la computación cuántica, que puede cambiar por completo el concepto de seguridad que conocemos. Esta tecnología tiene el potencial de romper los sistemas de cifrado actuales, y aunque la tecnología cuántica de propósito general podría tardar algunos años en llegar, su impacto será inmediato. De ahí la necesidad de comenzar a trabajar en algoritmos de cifrado resistentes a la computación cuántica. Si no actuamos ahora, podríamos enfrentarnos a un caos en unos años, con comunicaciones y documentos que dejarán de ser seguros.
Parece paradójico, pero es un campo bastante abstracto. ¿Qué puedes decir sobre la ética en la inteligencia artificial?
La ética es esencial. Sin ella, la IA podría convertirse en un desastre. Por ejemplo, la IA tiene lo que llamamos “sesgos” y “alucinaciones”. Los sesgos se generan por la manera en que alimentamos la IA con datos, lo que puede llevarla a tomar decisiones parciales o incluso erróneas. Las alucinaciones son respuestas coherentes, pero incorrectas, que puede generar la IA. Un caso famoso es el de un abogado en Estados Unidos, quien utilizó un sistema de IA para armar un caso legal. La IA generó citas de precedentes legales falsos, pero convincentes. Este tipo de errores, si no se supervisan, pueden causar problemas graves. Así que, por más avanzada que sea, la IA siempre requiere de una revisión humana para evitar decisiones erróneas que afecten la vida de las personas.
Para entender esa lógica de programación, ¿hasta dónde puede llegar este mundo de la inteligencia artificial? ¿Podría llegar a razonar de forma independiente?
Esa es la gran incógnita. ¿Hasta qué punto podemos darle autonomía a las máquinas sin perder el control? Actualmente, en varios sectores, especialmente en aeropuertos y otros lugares de alta seguridad, se emplea la IA para tareas muy específicas, como monitorear el movimiento de objetos. Esto ayuda a los trabajadores a identificar anomalías y reaccionar rápidamente. Pero si un sistema como este es atacado, podría paralizar toda la infraestructura. En Perú, tenemos normativas que regulan los activos críticos, pero falta concienciación sobre la importancia de protegerlos adecuadamente. Así como los avances tecnológicos nos ayudan, también nos exponen. Es fundamental que seamos conscientes de estos riesgos y que tomemos decisiones éticas y responsables sobre el nivel de autonomía que queremos delegar a las máquinas.
Según tu criterio, ¿qué tipo de reflexiones deberían realizarse y a quién le corresponde hacerlas? ¿Qué acciones debería tomar el Estado peruano?
Esto debería ser una política de Estado. Actualmente, se están haciendo esfuerzos, como capacitaciones y cursos sobre temas digitales, pero no podemos olvidar que Perú tiene un 80% de informalidad. Esto significa que una gran parte de la población no tiene acceso ni conocimiento sobre estos temas. El cambio debe comenzar con la educación, y en especial con los jóvenes, para que comprendan que lo público es también de ellos, que hay que cuidarlo y valorarlo. En la empresa privada, cada organización tiene la responsabilidad de establecer políticas de seguridad y concienciar a sus empleados. Necesitamos una coordinación efectiva entre el sector público y privado para enfrentarnos a estas amenazas.
Originalmente queríamos hablar sobre las amenazas para el próximo año en términos de ciberseguridad, especialmente en infraestructuras críticas.
Exacto, y eso es algo urgente. Tomemos el ejemplo del puerto de Chancay, un proyecto altamente automatizado y, por tanto, vulnerable a ciberataques. Este tipo de infraestructuras requieren que el sector privado y el gobierno trabajen de la mano para protegerlas. Sin embargo, en Perú tenemos un problema de cultura de seguridad. Muchos piensan que estos problemas solo afectan a otros países, pero ya hemos visto ataques en instituciones locales. Es importante entender que la ciberseguridad debe ser una prioridad desde ahora, antes de que sea demasiado tarde.
¿Podemos hacer una proyección sobre los riesgos para la infraestructura crítica de Perú en los próximos 10 o 20 años?
La IA permite hacer proyecciones, pero también depende de la calidad de la información con la que se alimenta el sistema. A medida que las noticias falsas y la manipulación de datos se vuelven más comunes, es difícil asegurar que las predicciones de IA sean precisas. Por ello, es vital utilizar fuentes de información confiables y contextualizadas. La información debe ser válida no solo por su origen, sino por el contexto en el que se aplicará, ya que un dato erróneo puede llevar a decisiones muy costosas en infraestructuras críticas.
¿Qué recomendaciones puedes ofrecer para protegernos de las nuevas ciberamenazas?
Primero, ser conscientes de que una vez que subimos información a internet, esta prácticamente nunca desaparece. La regla básica es pensarlo dos veces antes de compartir información en línea. También es importante tener precaución en la manera en que accedemos a nuestros servicios bancarios o empresariales, evitando siempre los enlaces que llegan por correo electrónico. Otro punto fundamental es proteger los dispositivos móviles. Muchos de nosotros confiamos demasiado en nuestros celulares, pensando que son seguros, cuando en realidad son un objetivo vulnerable para los ciberdelincuentes. Una buena práctica es instalar un antivirus en el celular y evitar abrir enlaces desconocidos.
¿Y qué más podríamos hacer en términos de prevención?
Las copias de seguridad son esenciales. No podemos depender únicamente de la nube; debemos tener copias físicas de los documentos más importantes. En caso de un ataque de ransomware, estas copias pueden permitirnos restaurar nuestro sistema. Los ataques de ransomware son cada vez más sofisticados. Ahora los atacantes no solo cifran los sistemas, sino que primero roban información y luego extorsionan a las empresas con la amenaza de publicarla. Por eso, es esencial tener un respaldo y una cultura de prevención que nos permita reaccionar rápidamente ante este tipo de ataques.
Reforzar una cultura de prevención. Antonio, tenemos que seguir conversando.
Así es. Reforzar la prevención y la conciencia de los riesgos es la mejor estrategia para enfrentar los desafíos de la tecnología actual. La tecnología tiene muchas ventajas, pero también nos pone en situaciones de vulnerabilidad si no estamos preparados. Estoy seguro de que si trabajamos juntos, podemos protegernos y aprovechar mejor las oportunidades que estas herramientas nos ofrecen.